Vom VReldeamt auszufUUen 



PCT 

ANTRAG 



Der Unterzeichnete beantragt, daB die vorliegende 
Internationale Anmeldung nach dem Vertrag Ober die 
internationale Zusammenarbeit auf dem Gebiet des 
Patentwesens behandelt wird 



Internationales Aktenzeichen 



Internationales Anmeldedatum 



Name des Anmeldeamts und "PCT International Application" 



Aktenzeichen des Anmelders bder An waits (falls gewninscht) 
(max. J 2 Zeichen) R . 32 510 Sve j kovsky/Da 



Feld Nr. I BEZEICHNUNG DER ERFINDUNG 

Steuergerat zur Steuerung sicherheitskritischer Anwendungen 



Feld Nr. II ANMELDER 



Name und Anschrift (Familienname, Vorname: bei juristischen Personen vollstandige 
amtliche Bezeichnung. Bei der Anschrift sind die Posileitzahl und der Name des Staats 
atmigeben. Der in diesem Feld in der Anschrift angegebene Staai ist der Staat des Sitzes 
oder Wohnsitzes des Anmelders, sofern nachstehend kein Staat des Sitzes oder Wohnsitzes 
angegeben ist.) 

ROBERT BOSCH GMBH 
Postfach 30 02 20 
70442 Stuttgart 

Bundesrepublik Deutschland (DE) 



□ 



Diese Person ist 
eleichzeitie Erfinder 



Telefonnr.: 

0711/811-33143 



Telefaxnr.: 

0711/811-331 81 



Fernschreibnr: 



Staatsangehorigkeit (Staat): DE 


Sitz oder Wohnsitz (Staat): DE 


Diese Person ist Anmelder alle Bestim- \/ alle Bestimmungsstaaten mit 

fur folgende Staaten: ' ' mungsstaaten u—^ Ausnahme der Vereinigten Staaten ' 


nur die Vereinigten 1 1 die im Zusatzfeld 
Staaten von Amerika ' ' angegebenen Staaten 


Feld Nr. Ill WEITERE ANMELDER UND/ODER (WEITERE) ERFINDER 



Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige 
amtliche Bezeichnung. Bei der Anschrift sind die Posileitzahl und der Name des Staats an- 
zugeben. Der in diesem Feld in der Anschrift angegebene Staat ist der Staat des Sitzes oder 
Wohnsitzes des Anmelders, sofern nachstehend kein Staat des Sitzes oder Wohnsitzes 
angegeben ist.) 

DOMINKE, Peter 
Rechentshof enerstr . 9 
74321 Bietigheim Bissingen 
DE 



Diese Person ist 
[ 1 nur Anmelder 



Anmelder und Erfinder 

nur Erfinder (Wird dieses Kastchen 
angekreuzt, so sind die nach- 



□ 



Staatsangehorigkeit (Staat): DE 


Sitz oder Wohnsitz (Staat): DE 


Diese Person ist Anmelder 
fur folgende Staaten: 




alle Bestim- 1 1 alle Bestimmungsstaaten mit 
mungsstaaten ' • Ausnahme der Vereinigten Staaten 


\/] nur die Vereinigten 
— ^ Staaten von Amerika 




die im Zusatzfeld 
angegebenen Staaten 




X 


Weitere Anmelder und/oder (weitere) Erfinder sind auf einem Fortsetzungsblatt angegeben. 


Feld Nr. IV ANWALT ODER GEMEINSAMER VERTRETER; ZUSTELLANSCHRIFT 


Die folgende Person wird hiermit bestellt/ist bestellt worden, urn fur den (die) Anmelder f 1 Anwalt F 
vor den zustandigen international en Behorden in folgender Eigenschaft zu handeln als: *— — ' ' 


gemeinsamer 
Vertreter 



Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige 

amtliche Bezeichnung Bei der Anschrift sind die Postleitzahl und der Name 
des Staats anzugeben) 


Telefonnr.: 




Telefaxnr. : 




Fernschreibnr: 



□ 



Dieses Kastchen ist anzukreuzen, wenn kein Anwalt oder gemeinsamer Vertreter bestellt ist und statt dessen im obigen Feld 

cine spezielle Zustel lan sch rift angegeben ist. 

Forrnblatt PCT/RO/101 (Blatt I) Q g ^ , ^ f ^ Siehe Anmerkungen zu diesem Antragsf or mular 



BlattNr... 2.... 




Fortsetzung von Feld Nf . Ill WEITERE ANMELDER UND/ODER (WEITERE) ERFINDER 


Wird keines der folgenden Felder benutzt, so ist dieses Blatt dem Antrag nicht beizufiigen. 


Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige. 
amtliche Bezeichmmg. Bei der Anschrift sind die Postleitzahi und der Name des Staats an- 
zugeben. Der in diesem Feld in der Anschrift angegebene Staat ist der Staat des Sitzes oder 
Wohnsitzes des Anmelders, sofern nachstehend Ice in Staat des Sitzes oder Wohnsitzes 
angegeben ist) 

PFEIFFER , Wol f gang 
Braunersbergsteige 13 
71723 Grossbottwar 
DE 


Diese Person ist 
1 nur Anmelder 

D*\l Anmelder und Erfinder 

1 | nur Erfinder (Wird dieses Kdstchen 
angeb-ettzt, so sind die nach- 
stehenden Angaben nicht notig.) 


Staatsangehorigkeit (Staat): , DE 


Sitz oder Wohnsitz (Staat): DE 


Diese Person ist Anmelder 1 | alle Bestim- 1 1 alle Bestimmungsstaaten mit 

fur folgende Staaten; ' ' mungsstaaten ' ' Ausnahme der Vereinigten Staaten 


X 


nur die Vereinigten 1 1 die im Zusatzfeld 
Staaten von Amerika ' ' angegebenen Staaten 


Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige 
amtliche Bezeichmmg. Bei der Anschrift sind die Postleitzahi und der Name des Staats an- 
zugeben. Der in diesem Feld in der Anschrift angegebene Staat ist der Staat des Sitzes oder 
Wohnsitzes des Anmelders, sofern nachstehend kein Staat des Sitzes oder Wohnsitzes 
angegeben ist.) 

HARTER , Werner 
Hummelberg 4 
75428 Illingen 
DE 


Diese Person ist - ' 
1 | nur Anmelder 

l/Kj Anmelder und Erfinder 

1 1 nur Erfinder (Wird dieses Kdstchen 
angekreuzt, so sind die nach- 
stehenden Angaben nicht notig.) 


StaatsangehSrigkeit (Staat): DE 


Sitz oder Wohnsitz (Staat): DE 


Diese Person ist Anmelder 1 1 alle Bestim- 1 alle Bestimmungsstaaten mit 

fur folgende Staaten: ' ' mungsstaaten ' ' Ausnahme der Vereinigten Staaten 


X 


nur die Vereinigten j 1 die im Zusatzfeld 
Staaten von Amerika ' ' angegebenen Staaten 


Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige 
amtliche Bezeichmmg. Bei der Anschrift sind die Postleitzahi und der Name des Staats an- 
zugeben. Der in diesem Feld in der Anschrift angegebene Staat ist der Staat des Sitzes oder 
IVohnsitzes des Anmelders, sofern nachstehend kein Staat des Sitzes oder Wohnsitzes 
angegeben ist.) 

LINDENKREUZ , Thomas 
Eugen-Bolz-Str . 21 
72766 Reutlingen 
DE 


Diese Person ist 
I 1 nur Anmelder 

[^s] Anmelder und Erfinder 

| | nur Erfmder (V\ ,r ird dieses Kdstchen 
angekreuzt, so sind die nach- 
stehenden Angaben nicht notig.) 


Staatsangehorigkeit (Staat): DE 


Sitz oder Wohnsitz (Staat): DE 


Diese Person ist Anmelder 1 1 alle Bestim- | 1 alle Bestimmungsstaaten mit 

fur folgende Staaten: ' 'mungsstaaten ' ' Ausnahme der Vereinigten Staaten 


X 


nur die Vereinigten [ 1 die im Zusatzfeld 
Staaten von Amerika ' ' angegebenen Staaten 


Name und Anschrift (Familienname, Vorname; bei juristischen Personen vollstandige 
amtliche Bezeichmmg. Bei der Anschrift sind die Postleitzahi und der Name des Staats an- 
zitgeben. Der in diesem Feld in der Anschrift angegebene Staat ist der Staat des Sitzes oder 
Wohnsitzes des Anmelders, sofern nachstehend kein Staat des Sitzes oder Wohnsitzes 
angegeben ist.) 


Diese Person ist 
| 1 nur Anmelder 

1 1 Anmelder und Erfinder 

| | nur Erfinder (J'Vird dieses Kdstchen 
angekreuzt, so sind die nach- 
stehenden Angaben nicht notig.) 


Staatsangehorigkeit (Staat): 


Sitz oder Wohnsitz (Staat): 


Diese Person ist Anmelder 1 1 alle Bestim- 1 1 alle Bestimmungsstaaten mit 1 
fur folgende Staaten: ' ' ungsstaaten ' ' Ausnahme der Vereinigten Staaten 1 


nur die Vereinigten |~ 1 die im Zusatzfeld 
Staaten von Amerika ' ' angegebenen Staaten 


| Weitere Anmelder und/oder (weitere) Erfinder sind auf einem Fortsetzungsblatt angegeben. 



Formblatt PCT/RO/1 0 1 (Fortsetzungsbl att) Siehe A nmerkungen zu diesem Antragsformular 



Feld Nr. V BESTIMMUNG VON 



BlattNr....3.... 



TEN 



Die folgenden Bestimmungen nach.Regel 4.9 Absatz a vverden hiermit vorgenomrnen: 
Regionales Patent 

I I AP ARIPO-Patent: GH Ghana, GM Gambia, KE Kenia, LS Lesotho, IVTW Malawi, SD Sudan, SL- Sierra Leone, 

SZ Swasiland, UG Uganda . ZW Simbabwe und jeder weitere Staat, der Vertragsstaat des Harare-Protokolls und des PCT ist 
I I EA Eurasisches Patent: AM Armenien, AZ Aserbaidschan, BY Belarus, KG Kirgisistan, KZ Kasachstan, MD Republik 
Moldau, RU Russische Federation, TJ Tadschikistan, TM Turkmenistan und jeder weitere Staat der Vertragsstaat 
des Eurasischen Patentubereinkommens und des PCT ist 
|><3 EP Europaisches Patent: AT Osterreich, BE Belgien, CH und LI Schweiz und Liechtenstein, CY Zypern, 
DE Deutschland, DK Danemark, ES Spanien, FI Finnland, FR Frankreich, GB Vereinigtes KOnigreich, 
GR Griechenland, IE Irland ? IT Italien, LU Luxemburg, MC Monaco, NL Niederlande, PT Portugal, 
SE Schweden und jeder weitere Staat, der Vertragsstaat des Europaischen Patentubereinkommens und des PCT ist. 
I I OA OAPI-Patent: BF Burkina Faso, BJ Benin, CF Zentralafrikanische Republik, CG Kongo, CI Cote d'lvorie, 

CM Kamerun, GA Gabun, GN Guinea, GW Guinea-Bissau, ML Mali, MR Mauretanien, NE Niger, SN Senegal, 

TD Tschad, TG Togo und jeder weitere Staat, der Vertragsstaat der OAPI und des PCT ist 

Nati on ales Patent (falls eirte andere Schutzrechtsart oder ein sonstiges Verfahren gewiinscht wird, bitte aaf der gepunkteten Linie angebenj: 



□ 


AE 


□ 


AL 


□ 


AM 


□ 


AT 


□ 


AU 


□ 


AZ 


□ 


BA 


□ 


BB 


□ 


BG 


□ 


BR 


□ 


BY 


□ 


CA 


□ 


CH 


□ 


CN 


□ 


CU 


1 — 1 

□ 


cz 


□ 


DE 


1 1 

□ 


DK 


□ 


EE 


□ 


ES 


□ 


FI 


1 — I 

□ 


GB 


1 — 1 


GD 


1 — 1 


GE 


1 1 

□ 


GH 


□ 


GM 


□ 


HR 


□ 


HU 


□ 


ID 


□ 


IL 


□ 


IN 


□ 


IS 




JP 


□ 


KE 


□ 


KG 


□ 


KP 


□ 


KR 


□ 


KZ 


□ 


LC 


□ 


LK 



LR 

LS 

LT 

LU 

LV 

MD 

MG 

MK 



MN 



Vereinigte Arabische Emirate 

Albanien I I 

Armenien I I 

Osterreich : □ 

Austral i en Q 

Aserbaidschan I I 

Bosnien-Herzegowina Q 

Barbados O 

Bulgarien 

Brasilien I I 

Belarus I I 

Kanada Q 

und LI Schweiz und Liechtenstein Q 

China Q 

Kuba □ 

Tschechische Republik Q 

Deutschland I I 

Danemark :.. Q 

Estland Q 

Spanien Q 

Finnland Q 

Vereinigtes Konigreich [ I 

Grenada Q 

Georgien I I 

Ghana P| 

Gambia I I 

Kxoatien I I 

Ungarn Q 

Indonesien Q 

Israel Q 

Indien [^1 
Island 
Japan.. 

Kenia I I 

Kirgisistan I I 

Demokratische Volksrepublik Korea Q 

D 

Rebublik Korea Kastchen fur die Bestimmung von Staaten, die dem PCT nach der 

Kasachstan VerSffentlichung dieses Formblatts beigetreten sind: 

Saint Lucia 

Sri Lanka Q 



Liberia 

Lesotho 

Litauen 

Luxemburg 

Lettland 

Republik Moldau 

Madagaskar 

Die ehemalige jugoslawische Republik 
Mazedonien 

Mongolei 

MW Malawi 

MX Mexiko : 

Norwegen 

Neuseeland 

Polen 

Portugal 

Rumanien 

Russische Federation 

Sudan 
Schweden 
Singapur 

Slowenien 

Slowakei 

Sierra Leone 

Tadschikistan 

Turkmenistan 

TQrkei 

Trinidad und Tobago 

Ukraine 

Uganda 

Vereinigte Staaten von Amerika. 



NO 

NZ 

PL 

PT 

RO 

RU 

SD 

SE 

SG 

SI 

SK 

SL 

TJ 

TM 

TR 

TT 

UA 

UG 

US 



□ 



uz 

VN 
YU 
ZA 
ZW 



Usbekistan..., 

Vietnam 

Jugoslawien.. 

Sudafrika 

Simbabwe 



ErkJarung bzgl. vorsorglicher Bestimmungen: zusfitzlich zu den oben aenannten Bestimmungen nimmt der Anmelder nach Reael 4.9 Absatz b auch alle 
anderen nach dem PCT zulassigen Bestimmungen vor mit Ausnahme der im Zusatzfeld genannten Bestimmungen, die von dieser Erklarung ausgenommen 
sind. Der Anmelder erklart, dafi diese zusatzlichen Bestimmungen unter dem Vorbehalt einer Bestatigung stehen und jede zusatzliche Be-stimmung, die vor 
Ablauf von 15 Monaten ab dem Priori tflts da turn nicht bestatigt wurde, nach Ablauf dieser Frist als vom Anmelder zuruckgenommen gilt. (Die Bestdfigwig 
einer Bestimmung erfolgt durch die Einreichitng einer Mitteilung, in der diese Bestimmung angegeben wird, und die Zahlung der Bestimmungs- und der 
Bestatigungsgebuhr. Die BestStigung mufi beim Anmeldeamt innerhafb der Frist von 15 Monaten eingehenj 



FormbiattPCT/RO/101 (Blatt2) (Juli 1999) 



Siehe Anmerkungen za dies em Antragsf or miliar 



Feld 'Nr. VI 



PRIORITATSA 



Blatt Nr..4 



UCH 



□ 



Weitere Prior^JmsprQche sind im Zusatzfeld angegeben 



Anmeldedatum , 
der frQheren Anmeldung 
(T ag/Monat/Jahr) 


. Aktenzeichen der 
frQheren Anmeldung 


1st die frtthere Anmeldung erne: 


nationale Anmeldung: 
Staat 


regionale Anmeldung: * 
regionales Amt 


internationale Anmeldung: 
Anmeldeamt 


Zeile(l) 

20. Januar 1999 
(20.01 .99) 


199 02 031.0 


Bundesrepublik 
Deutschland 






Zeile (2) 










Zeile (3) 











Das Anmeldeamt wird ersucht, eine beglaubigte Abschrift der oben in Zeile(n) 

bezeichneten frQheren Anmeldung(en) zu erstellen und dem Internationalen BQro zu Qbermittelri. 



All 



Feld Nr. VII INTERNATIONALE RECHERCHENBEHORDE 



Wahl der Internationalen RecherchenbehoYde (ISA) 

(falls nvei oder mehr alszwei Internationale Recherchenbehbrden 
fiir die Ansfiihrung der internationalen Recherche zustandig sind, 
geben Sie die von Jhnen gewahlte Behdrde an: (der: 
Zweibuchstaben-Code kann beniitzt werden) 
ISA/ 



Antrag auf Nutzung der Ergebnisse einer frQheren Recherche: Bezugnahme auf 
diese frUhere Recherche {falls eine friihere Recherche bei der internationalen 
Recherchenberdrde bean/rag/ oder von ihr durchgefuhrt worden ist): 
Datum (Tag/Monat/Jahr)\ Aktenzeichen Staat (oder regionales Amt) 



Feld Nr. VIII 



KONTROLLISTE; EINREICHUN GSSPRA CHE 



Diese internationale Anmeldung enthSlt 
die folgende Anzahl von Blattern: 



Antrag 

Beschreibung (ohne 
Sequenzprotokollteil) 

AnsprUche 

Zusammenfassung : 

Zeichnungen 

Sequenzprotokollteil 
der Beschreibune 



4 Blatter 

22 Blatter 

5 Blatter 
Blatter 

3 Blatter 

Blatter 



Blattzahl insgesamt : 35 Blatter 



Dieser internationalen Anmeldung liegen die nachstehend angekreuzten Unterlagen bei: 
Blatt fiir die Gebilhrenberechnung 

Gesonderte unterzeichnete Vollmacht 

Kopien der allgemeinen Vollmacht; Aktenzeichen (falls vorhanden) 
Begrundung fur das Fehlen einer Unterschrift 



□ 
□ 
□ 

| | Prioritatsbeleg(e), in Feld VI durch 

folgende Zeilennummer gekennzeichnet: 

[ 1 Ubersetzung der internationalen Anmeldung in die folgende Sprache: 

I I Gesonderte Angaben zu hinterlegten Mikroorganismen oder biologisc 
Material 

Sequenzprotokolle fiir Nucleotide und/oder Anminosauren (Diskette) 
Sonstige (einzeln auffiihren): 



8- □ 
9. M 



Abbildung der Zeichnungen, die 
mit der Zusammenfassung 
veroffentlicht werden soli (Nr.): 2 


Sprache. in der die 
internationale Anmeldung 
eingereicht wird: Deutsch 


Feld Nr. IX UNTERSCHRIFT DES ANMELDERS ODER DES ANWALTS 



Der Name jeder unteneiclmenden Person ist neben der Unterschrift zu wiederhoten, und es ist anzugeben, sofern sich dies nicht eindeutig a us 
dem Antrag ergibt, in welcher Eigenschaft die Person unterzeiclmet. 

ROBERT BOSCH GMBH 
Nr 17/72 AV 



Muller 



Peter Dominke , Wolfgang Pfeiffer 

Werner Harter, * Thomas Lindenkreuz 



Vom Anmeldeamt auszufullen 

1. Datum des tatsfichlichen Eingangs dieser 
internationalen Anmeldung 


2. Zeichnungen 

j | einge-gangen: 

I 1 nicht ein- 
' ' gegangen : 


3. Geandertes Eingangsdatum aufgrund nachtraglich, jedoch 
fristgerecht eingegangener Unterlagen oder Zeichnungen 
zur V ervo 11 stand igung dieser internationalen Anmeldung: 


4. Datum des fristgerechten Eingangs der angeforderten 
Richtigstellung nach Artikel U(2) PCT: 


5. Vom Anmelder benannte 

Internationale Recherchenbehorde: ISA/ 


6. Ubermittlung des Recherchenexernplars bis zur Zahlung 
j | der RecherchengebOhr aufgeschoben 



Datum des Eingangs des Akten exemplars 
beim Internationalen BQro: 



Vom Internationalen BQro auszufUllen 



Formblatt PCT/RO/101 (letztes Blatt) 



Siehe Anmerkitngen zu diesem Antragsformular 




PATENT COOPERATION TREATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 
(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference 
R.325 1 OSvejkovsky/Da 


rnn itituthpu Ai^rinM ^ ee Noti fi cation of Transmittal of International 
UKf UK1 A <- 1 Preliminary Examination Report (Form PCT/1PEA/416) 


International application No. 

PCT/DE00/00157 


International filing date (day/month/year) 
1 8 January 2000 (18.01 .00) 


Priority date (day/month/year) 

20 January 1999 (20.01 .99) 


International Patent Classification (IPC) or national classification and IPC 
G01R 31/30, G06F 11/00 


Applicant 


ROBERT BOSCH GMBH 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of. 



1 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 


I2SJ 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


□ 



Date of submission of the demand 

17 August 2000(17.08.00) 


Date of completion of this report 

16 May 2001 (16.05.2001) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPEA/409 (cover sheet) (January 1994) 





International application No. 


INTERNATIONAL PRELIMINARY EXAMINATION REPORT 


PCT/DE00/00157 


I. Basis of the report 


1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed " and are not annexed to the report since they do not contain amendments.)'. 


| | the international application as originally filed. 




[V] the description, pages 1-22 . as original lv filed. 




pages . filed with the demand. 




pages . filed with the letter of - 




pages filpH with thf lettpr of 


fVl the claims, Nos. 1-11,13-18 . as original Iv filed. 




Nos. » as amended under Article 1 9, 


Nos. . filed with the demand. 




Nos. 1 2 _ filed w ith the letter of 


05 April 2001 ( 05.04.200 n 


Nos. . filed with the letter of 


[S?] the drawings, sheets/fig 1/3-3/3 ^ ^ originally filed. 




sheets/fig . filed with the demand. 




sheets/fig . filed with the letter of 




sheets/fig . filed with the letter of 


2. The amendments have resulted in the cancellation of: 




1 1 the description, pages 




1 1 the claims, Nos. 




1 1 the drawings, sheets/fig 




3 [ 1 This report has been established as if (some of) the amendments had not been made, since they have been considered 
— to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 


4. Additional observations, if necessary: 





Form PCT/IPEA/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 


International application No. 
PCT/DE 00/00157 


V. 


Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 


1. 


Statement 








Novelty (N) Claims 


1 


-18 ves 




Idling 




NO 




Inventive step (IS) Claims 


1 


-18 VF<J 




Claims 




NO 




Industrial applicability (IA) Claims 


1 


~ 18 YES 




Claims 




NO 


2. 


Citations and explanations 








1) . Reference is made to 


the following 


documents : 




Dl: E. BOHL ET AL . : 


"THE FAIL-STOP 


CONTROLLER AE11' 




INTERNATIONAL TEST CONFERENCE, 


1 November 1997 




(1997-11-01), pages 567-577, XP002138755 




Washington, DC, USA 






D2: DE-A-43 05 288 








D3: DE-A-196 11 520 








D4: EP-A-0 322 141 








D5: US-A-5 436 837 








D6: DE-A-36 39 065. 








2) . The section spanning 


page 1, line 37 to page 2, 




line 21 describes Dl 


and D3 as quiescent current 




tests which are used 


in development and design and 




in the production of 


integrated circuits . 




The intention of the 


application is to replace the 




two mutually testing 


microcontrollers previously 




provided in control appliances for 


increasing error 




protection with one microcontroller with two 




different, complementary test methods. 




The subject matter of 


independent Claims 1 and 12 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 
PCT/DE 00/00157 



differs from the prior art as per Dl and D3 by the 
use of a quiescent current handshake line and the 
signals associated therewith to control the 
measurement of the quiescent current and at the same 
time a test data signal-transmission line with 
corresponding signals . 

Although D2 describes, in column 2, the combination 
of two test principles, it relates to the testing of 
integrated circuits in a production line. 

Dl to D3 therefore do not describe a control 
appliance and also do not have the additional 
feature of a special handshake line. 

In D4, two computers monitor each other. 

D5 and D6 have no IDQQ test. 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 
PCT/DE 00/00157 



VII. Certain defects in the international application 

The following defects in the form or contents of the international application have been noted: 

Contrary to PCT Rule 5.1(a) (ii), the description 
does not cite the relevant prior art disclosed by 
document D2, nor does the section spanning page 1, 
line 37 to page 2, line 21 mention documents Dl to 
D3 . 



Form PCT/IPEA/409 (Box VII) (January 1994) 



m 09/889730 

JClflic'dPCT/PTO 1 9 JUL 2001 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 
International Reference PCT/DE00/00157 

I. Basis of the report 

1. With regard to the sections of the International 

Application {Substitute sheets which have been furnished 

to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as 
"originally filed" and are not annexed to the report 
since they do not contain amendments (Rules 70.16 and 
70.17) ) : 



the Specification, pages 1-22 as originally filed 

the Claims, Nos. 1-11/ 13-18 as originally filed 

12 filed on 4/5/2001 

with the 
correspondence 
dated 4/5/2001 

the drawings, sheets 1/3-3/3 as originally filed 



V. Substantiated determination according to Article 35(2) 
with regard to novelty, inventive activity, and 
industrial applicability; documents and clarifications to 
support this determination 

1 . DETERMINATION 



Novelty Claims 1-18 YES 

Claims NO 

Inventive Activity Claims 1-18 YES 

Claims NO 

Industrial Applicability Claims 1-18 YES 

Claims NO 



DOCUMENTS AND CLARIFICATIONS 



See enclosure. 

VII. Specific shortcomings of the International Application 

It was determined that the International Application has 
the following shortcomings with regard to form or 
content : 



See enclosure. 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 
International Reference PCT/DE00/00157 

With respect to point V 

Substantiated determination according to Article 35(2) with 
regard to novelty, inventive activity, and industrial 
applicability; documents and clarifications to support this 
determination 

1) Reference is made to the following documents: 

Dl : E. BOHL ET AL . : "THE FAIL-STOP CONTROLLER AE11" 
INTERNATIONAL TEST CONFERENCE, November 1, 19 9 7 
(11/1/1991), pgs. 567-577, XP002138755 Washington, 
DC , USA 

D2 : DE 43 05 288 A 

D3 : DE 196 11 520 A 

D4 : EP A 0 322 141 

D5 : U.S. A 436, 837 

D6: DE 36 39 065 A 

2) Dl and D3 are described as a quiescent current test on 
page 1, line 3 7 through page 2, line 21, and it is used 
there in the development, design, and manufacture of 
integrated circuits . 

The object of the Application is to replace the two 
microcontrollers that are currently provided in control 
units for increasing error reliability and that mutually 
check one another with one microcontroller having two 
different test methods that supplement one another. 



The object of independent Claims 1 and 12 differs from 
the related art according to Dl and D3 by using a 
quiescent current handshake line, the accompanying 



signals for controlling the quiescent current 
measurement, as well as a test data signal transmission 
line having corresponding signals. 

In column 2, D2 does describe the combination of two 
testing principles, yet relates to the test of integrated 
circuits during assembly. 

Thus, D1-D3 do not describe a control unit and also do 
not have the additional feature of a special handshake 
line . 

In D4, 2 computers mutually monitor one another. 
D5 and D6 do not have an IDQQ test . 

With respect to point VII 

Specific shortcomings of the International Application 

3). In opposition with the requirements of Rule 5.1 a)ii)PCT, 
neither the relevant related art described in Document D2 
nor page 1, line 3 7 through page 2, line 21 of documents 
Dl and D3 are cited in the Specification. 



Revised Claim 



12 . A method for testing a microcomputer (MC) of a control 
unit (1) for controlling safety-critical applications, the 
control unit having the microcomputer (MC) , a monitoring unit 
(check unit, CU) , and peripheral circuits (input output, 10), 
wherein the quiescent current of the microcomputer MC is 
measured, the measurement of the quiescent current being 
controlled by the monitoring unit (CU) , and for that purpose, 
at least one handshake signal (IDDQ_EN, IDDQ_FIN) being 
exchanged between the microcomputer (MC) and the monitoring 
unit (CU) , and wherein a test data input signal is applied to 
the MC; a first test data output signal is determined; and a 
second test data output signal of the MC is compared to the 
first test data output signal of the CU. 



VERTRAG U 



DIE INTERNATIONALE Zuftn/IMENARBEIT AUF DEM 
GEBIET DES PATENTWESEN1 



PCT 

INTERNATIONALER VORLAUFIGER PRUFUNGSBERICI 

(Artikel 36 und Regel 70 PCT) 




Aktenzeichen des Anmelders Oder Anwalts 
R.32510Sy/Kat 


siehe Mitteilung uber die Ubersendung des internationaien 
WEITERES VORGEHEN voriaufigen Prufungsberichts (Formblatt PCT/IPEA/416) 


Internationales Aktenzeichen 
PCT/DE00/00157 


Internationales AnmeldedatumfTap^lfona^Ja/?^ 
18/01/2000 


Prioritatsdatum (Tag/Monat/Tag) 
20/01/1999 


Internationale Patentklassifikation (IPK) Oder nationale Klassifikation und IPK 
G01R31/30 


Anmetder 

ROBERT BOSCH GMBH et al. 



1 . Dieser internationale vorlaufige Prufungsbericht wurde von der mit der internationaien voriaufigen Prufung beauftragten 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 ubermittelt. 

2. Dieser BERICHT umfaBt insgesamt 5 Blatter einschlieBlich dieses Deckblatts. 

S AuBerdem liegen dem Bericht ANLAGEN bei; dabei handelt es sich um Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen, die geandert wurden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Verwaltungsrichtlinien zum PCT), 

Diese Anlagen umfassen insgesamt 1 Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punkten: 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


is 


VIII 


□ 



Grundlage des Berichts 
Prioritat 

Keine Erstellung eines Gutachtens uber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 
Mangelnde Einheitlichkeit der Erfindung 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stutzung dieser Feststellung 

Bestimmte angefuhrte Unterlagen 

Bestimmte Mangel der internationaien Anmeldung 

Bestimmte Bemerkungen zur internationaien Anmeldung 



Datum der Einreichung des Antrags 



17/08/2000 



Datum der Fertigstellung dieses Berichts 
16.05.2001 



Name und Postanschrift der mit der internationaien voriaufigen 
Prufung beauftragten Behorde: 

J- Europaisches Patentamt 
D-80298 Munchen 
Tel. +49 89 2399 - 0 Tx: 523656 epmu d 

Fax: +49 89 2399 - 4465 



Bevollmachtigter Bediensteter 
Rath, R 

Tel. Nr. +49 89 2399 8950 



Formblatt PCT/IPEA/409 (Deckblatt) (Januar 1994) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT 



Internationales Aktenzeichen PCT/DEOO/00 1 57 



i; Grundlage des Berichts 

1 . Hinsichtlich der Bestandteile der internationalen Anmeldung (Ersatzblatter, die dem Anmeldeamt auf eine 
Aufforderung nach Artikel 14 hin vorgelegt warden, gelten im Rahmen dieses Berichts als "ursprunglich 
eingereicht" und sind ihm nicht beigefugt, weil sie keine Anderungen enthalten (Regeln 70. 16 und 70. 1 7)): 
Beschreibung, Seiten: 

1-22 ursprungliche Fassung 

Patentanspruche, Nr.: 

1-11,13-18 ursprungliche Fassung 

12 eingegangen am 05/04/2001 mit Schreiben vom 05/04/2001 

Zeichnungen, Blatter: 

1/3-3/3 ursprungliche Fassung 



2. Hinsichtlich der Sprache: Alle vorstehend genannten Bestandteile standen der Behorde in der Sprache, in der 
die internationale Anmeldung eingereicht worden ist, zur Verfugung Oder wurden in dieser eingereicht, sofern 
unter diesem Punkt nichts anderes angegeben ist. 

Die Bestandteile standen der Behorde in der Sprache: zur Verfugung bzw. wurden in dieser Sprache 
eingereicht; dabei handelt es sich um 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen Recherche eingereicht worden ist (nach 
Regel 23.1(b)). 

□ die Veroffentlichungssprache der internationalen Anmeldung (nach Regel 48.3(b)). 

□ die Sprache der Ubersetzung, die fur die Zwecke der internationalen vorlaufigen Prufung eingereicht worden 
ist (nach Regel 55.2 und/oder 55.3). 

3. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotid- und/oder Aminosauresequenz ist die 
internationale vorlaufige Prufung auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das: 

□ in der internationalen Anmeldung in schriftlicher Form enthalten ist. 

□ zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

□ bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

□ Die Erklarung, daG das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den 
Offenbarungsgehalt der internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

□ Die Erklarung, daB die in computerlesbarer Form erfassten Informationen dem schriftlichen 
Sequenzprotokoll entsprechen, wurde vorgelegt. 



Formblatt PCT/IPEA/409 (Felder l-VIII, Blatt 1) (Juli 1998) 



INTERNATIONALER VORLAUFIGER 

PRUFUNGSBERICHT Internationales Aktenzeichen PCT/DE00/001 57 



4! Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

5. □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden, da diese aus den 

angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)). 

(Auf Ersatzblatter, die solche Anderungen enthalten, ist unter Punkt 1 hinzuweisen;sie sind diesem Bericht 
beizufugen). 

6. Etwaige zusatzliche Bemerkungen: 



V. Begrundete Feststeliung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stiitzung dieser Feststeliung 

1. Feststeliung 

Neuheit (N) Ja: Anspruche 1-18 

Nein: Anspruche 

Erfinderische Tatigkeit (ET) Ja: Anspruche 1-18 

Nein: Anspruche 

Gewerbliche Anwendbarkeit (GA) Ja: Anspruche 1-18 

Nein: Anspruche 

2. Unterlagen und Erklarungen 
siehe Beiblatt 



VII. Bestimmte Mangel der internationalen Anmeldung 

Es wurde festgestellt, daB die Internationale Anmeldung nach Form Oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



Formblatt PCT/IPEA/409 (Felder l-VHI, Blatt 2) (Juli 1998) 



INTERNATIONALER VORLAUFIGER 
PRUFUNGSBERICHT - BEIBLATT 



Internationales Aktenzeichen PCT/DE00/001 57 



Zu Punkt V 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerblichen Anwendbarkeit; Unterlagen und 
Erklarungen zur Stutzung dieser Feststellung 

1) . Es wird auf die folgenden Dokumente verwiesen: 

D1 : E. BOHL ET AL: THE FAIL-STOP CONTROLLER AE1 1 1 INTERNATIONAL 
TEST CONFERENCE, 1. November 1997 (1997-11-01), Seiten 567-577, 
XP0021 38755 Washington, dc, usa 

D2: DE 43 05 288 A 

D3: DE 196 11 520 A 

D4: EP-A-0 322 141 

D5: US-A-5 436 837 

D6: DE 36 39 065 A 

2) . D1 und D3 sind als Ruhestromtest auf Seite 1 , Zeile 37 bis Seite 2, Zeile 21 

beschrieben und wird dort bei Entwicklung und Design und in der Produktion von 
integrierten Schaltungen verwendet. 

Die Anmeldung beabsichtigt, in Steuergeraten die zur Erhdhung der 
Fehlersicherheit bisher vorgesehenen zwei Microcontroller, welche sich 
gegenseitig uberprufen, durch einen Microcontroller mit zwei unterschiedlichen, 
sich gegenseitig erganzenden Testverfahren zu ersetzen. 

Der Gegenstand der unabhangigen Anspruche 1 und 12 unterscheidet sich 
vom Stand der Technik gemaB D1 und D3 durch die Verwendung einer 
Ruhestrom-Handshakeleitung und der damit einhergehenden Signale zur 
Steuerung der Ruhestrommessung sowie gleichzeitig einer Testdatensignal- 
Ubertragungleitung mit entsprechenden Signalen. 

D2 beschreibt zwar in Spalte 2 die Kombination zweier Testprinzipien, bezieht 
sich aber auf den Test von integrierten Schaltungen am Band. 



Formblatt PCT/Beiblatt/409 (Blatt 1) (EPA-April 1997) 



INTERNATIONALER VORLAUFIGER Internationales Aktenzeichen PCT/DE00/001 57 
PRUFUNGSBERICHT - BEIBLATT 



D1- D3 beschreiben daher kein Steuergerat und weisen auch nicht das 
zusatzliche Merkmal einer speziellen Handshake-Leitung auf. 

In D4 uberwachen sich 2 Computer gegenseitig. 
D5 und D6 weisen keinen IDQQ-Test auf. 



Zu Punkt VII 

Bestimmte Mangel der internationalen Anmeldung 

3). Im Widerspruch zu den Erfordernissen der Regel 5.1 a) ii) PCT werden in der 
Beschreibung weder der in Dokument D2 offenbarte einschlagige Stand der 
Technik noch auf Seite 1 , Zeile 37 bis Seite 2, Zeile 21 die Dokumente D1 und D3 
genannt. 



Formblatt PCT/Beiblatt/409 (Blatt 2) (EPA- April 1997) 



16:56 



International Anmeldung PCT/DE 00/00157 R. 32510 Sy/Bc 

Robert Bosch GmbH, Stuttgart 05.04.01 



Geanderter Anspruch 

12. Verfahren zum Oberprtifen eines Mikrocomputers (MC) eines 
Steuergerates {1) zur Steuerung sicherheitskritischer 
Anwendungen, das den Microcomputer (MC) , eine 

Oberwachungseinheit {Check Unit, CU) und Peripherieschal tungen 
(Input Output, 10) aufweist, 
gekenn2eichnet durch 

- eine Messung des Ruhestroms des Mikrocomputers (MC) f wobei die 
Messung des Ruhestroms durch die Oberwachungseinheit (CU) 
gesteuert wird und dazu wenigstens ein Handshake-Signal { IDDQ- 
EN, IDDQ-FIN) 2wischen dem Mikrocomputer (MC) und der 
Uberwachungseinheit (CU) ausgetauscht wird und 

- eine Beauf schlagung des MC itiit einem Testdateneingangssignal f 

- ein Bestimmen eines ersten Testdatenausgangssignals und 

- einen Vergleich eines zweiten Testdatenausgangssignals des MC 
mit dem ersten Testclatenausgangssignal der CU. 



GEA^OEFTTES BLATt 



.J 

./ 

VERTRiAjBER DIE INTERNATIONALE Z^fc.MMEN ARBEIT 
^AUF DEM GEBIET DES PATENTWtSENS 

PCT 

INTERN ATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des An m elders oder Anwalts 

R . 32510Sve jkovsky/Da 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie, soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/DE 00/00157 


Internationales Anmeldedatum 
(T ag/Monat/Jahr) 

18/01/2000 


(Fruhestes) Prioritatsdatum (Taci/Monat/Jahr) 

20/01/1999 


Anmelder 

ROBERT BOSCH GMBH et al . 



Dieser internationale Recherchenbericht wurde von der Internationalen Recherchenbehorde ersteltt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaBt insgesamt _3 Blatter. 

[X| Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Technik bei. 



1. Grundlage des Berlchts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 



□ 



2. 
3. 



Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Ubersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotld- und/oder Amlnosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 
| | in der internationalen Anmeldung in Schriflicher Form enthatten ist. 

zusammen mit der internationalen Anmeldung in computerlesbarer Form eingereicht worden ist 
bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 
bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

Die Erklarung, daft das nachtraglich eingereichte schrrftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

Bestlmmte Anspruche haben slch als nlcht recherchlerbar erwtesen (siehe Feld I). 
Mangel nde Elnhettllchkett der Erflndung (siehe Feld II). 



□ 
□ 
□ 
□ 

□ 

□ 
□ 



Hinsichtlich der Bezelchnung der Erflndung 

|X] wird der vom Anmelder eingereichte Wortlaut genehmigt. 
f"~| wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



5. Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
[ | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 
Recherchenberichts eine Stellungnahme vorlegen. 

6. Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. ? 



|X| wie vom Anmelder vorgeschlagen Q keinederAbb. 

| | weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet 
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Of^T* WELTORGANISATION FOR GEISTIGES EIGENTUM 

ll^l Internationales Bflro 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG tJBER DIE 
INTERNATIONALE ZUSAMMEN ARBEIT AUF DEM GEBIET DES PATENTWESENS (PCT) 



(51) Internationale Patentklassifikation 7 : 
G01R 31/30, G06F 11/00 



Al 



(11) Internationale Veroffentllchungsnummer: WO 00/43797 

27. Juli 2000 (27.07.00) 



(43) Internationales 

Veroffentlichungsdatum: 



(21) Internationales Aktenzelchen: PCT/DEOO/00157 

(22) Internationales Anmeldedatum: 18. Januar 2000 (18.01 .00) 



(30) Prioritatsdaten: 
199 02 031.0 



20. Januar 1999 (20.01.99) 



DE 



(71) Anmelder (fur alle Bestimmungsstaaten ausser US): ROBERT 

BOSCH GMBH [DE/DE]; Postfach 30 02 20, D-70442 
Stuttgart (DE). 

(72) Erfinder; und 

(75) Erfinder/Anmelder (nurfiir US): DOMINKE, Peter [DE/DE]; 
Rechentshofenerstrasse 9, D-74321 Bietigheim Bissingen 
(DE). PFEIFFER, Wolfgang [DE/DE]; Braunersbergsteige 
13, D-71723 Grossbottwar (DE). HARTER, Werner 
[DE/DE]; Hummelberg 4, D-75428 Hlingen (DE). LIN- 
DENKREUZ, Thomas [DE/DE]; Eugen-Bolz-Strasse 21, 
D-72766 Reutlingen (DE). 



(81) Bestimmungsstaaten: JP, US, europaisches Patent (AT, BE, 
CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, 
NL, PT, SE). 



Veroffentlicht 

Mit internationalem Recherchenbericht. 

Vor Ablauf der fiir Anderungen der Anspruche zugelassenen 

Frist; Veroffentlichung wird wiederholt falls Anderungen 

eintreffen. 



(54) Title: CONTROL DEVICE FOR CONTROLLING APPLICATIONS WHICH ARE CRUCIAL TO SAFETY 

(54) Bezeichnung: STEUERGERAT ZUR STEUERUNG SICHERHEITSKRITISCHER ANWENDUNGEN 

(57) Abstract 

The invention relates to a control device (1) 
for controlling applications (5) which are crucial to 
safety. The inventive control device comprises a mi- 
crocomputer (MC), a monitoring unit (CU, Check 
Unit) and peripheral circuits (IO, Input/Output). The 
aim of the invention is to further improve the reli- 
ability of error detection in control devices of this 
type and to broaden the detection of additional types 
of errors. To this end, the invention provides a con- 
trol device (1) of the aforementioned type, whereby 
the monitoring unit (CU) comprises first means for 
measuring the quiescent current of the microcom- 
puter (MC). At least one quiescent handshake line 
(IDDQ-HDSHK) which is provided for controlling 
the measurement of the quiescent extends between 
the first means of the CU and the MC. In addition, 
the CU comprises second means for subjecting the 
MC to a test data input signal, for processing the test 
data input signal and for comparing the corresponding test data output signal of the MC with the corresponding test data output signal of 
the CU. At least one test data signal transmission line extends between the second means of the CU and the MC. 




(57) Zusammenfassung 



Die Erfindung betrifft ein Steuergerat (I) zur Steuerung sicterheitskriuscher Anwendungen (5) mit cinem Mikrocomputer (MC), einer 
Obeiwachungscinheit (CU, Check Unit) und Peripherieschaltungen OO, Input/Output). Urn bei derartigen Steuergeraten die Zuverlftssigkeit 
der Fehleidetektion weiter zu verbessern und die Detektion auf zusteiiche Fehlerarten auszuweiten, wild gemaB der Erfindung ein 
SteuergerSt (1) der genannten Art vorgeschlagen, wobei die Oberwachimgseinheit (CU) erste Mittel zur Messung des Ruhestroms des 
Microcomputers (MC) aufweist, zwischen den ersten Mitteln der CU und dem MC mindestens eine Ruhestrom-Handshake-Leitung 
(TODQ-HDSHK) zur Steuerung der Messung des Ruhestroms verlauft, und dass die CU zweite Mittel zur Beaufschlagung des MC mit einem 
Testdateneingangssignal, zur Verarbeitung des Testdateneingangssignals und zum Vergleich des entsprechenden Testdatenausgangssignals 
des MC mit dem entsprechenden Testdatenausgangssignal der CU aufweist und zwischen den zweiten Mitteln der CU und dem MC 
mindestens eine Testdatensignal-Obertragungsleitung verlauft. 



LEDIGUCH ZUR INFORMATION 

Codes zur Identifizierung von PCT-Vertragsstaaten auf den Kopfbogen der Schriften, die intemationale Anmeldungen gemass dem 
PCT verdffentlichen. 



AJL 


Albamen 


ES 


Spanien 


LS 


Lesotho 


SI 


Slowenien 


AM 


Armenien 


FI 


Fbinland 


LT 


Litauen 


SK 


Slowakei 


AT 


Gsterreich 


FR 


Frankreich 


LU 


Luxemburg 


SN 


Senegal 


AU 


Australien 


GA 


Gabon 


LV 


Lettland 


sz 


Swasiland 


AZ 


Aserbaidschan 


GB 


Vereinigtes Konigrrich 


MC 


Monaco 


TD 


Tscnad 


BA 


Bosnicn-HcTTCgowina 


GE 


Georgien 


MD 


Repubtik MokJau 


TG 


Togo 


BB 


Barbados 


GH 


Ghana 


MG 


Madagaskar 


TJ 


Tadschikistan 


BE 


Belgicn 


GN 


Guinea 


MK 


Die ehcmalige jugostawlsche 


TM 


Turkmenistan 


BF 


Burkina Faso 


GR 


Griechenland 




Republik Mazedonien 


TR 


TDrkei 


BG 


Bulgarien 


HU 


Ungarn 


ML 


Mall 


TT 


Trinidad und Tobago 


BJ 


Benin 


IE 


Irland 


MN 


Mongolei 


UA 


Ukraine 


BR 


Brasilien 


IL 


Israel 


MR 


Mauretanien 


UG 


Uganda 


BY 


Belarus 


IS 


bland 


MW 


Malawi 


US 


Vereinigte Staalen von 


CA 


Kanada 


IT 


bafien 


MX 


MexDco 




Amerika 


CF 


Zentralainkanische Republik 


JP 


Japan 


NE 


Niger 


uz 


Usbekistan 


CG 


Kongo 


KE 


Kenia 


NL 


Niedcriande 


VN 


Vietnam 


CH 


Schwciz 


KG 


Kirgisistan 


NO 


Norwegcn 


YU 


Jugoslawien 


a 


Cflte d'lvoire 


KP 


Dernokratische Volksrepublik 


NZ 


Neuseeland 


zw 


Zimbabwe 


CM 


Karocnin 




Korea 


PL 


PoJen 






CN 


China 


KR 


Repubtik Korea 


FT 


Portugal 






CU 


Kuba 


KZ 


Kasachstan 


RO 


Rumanien 






cz 


Tschechische Repmblik 


LC 


SL Lucia 


RU 


Russische FSderation 






DE 


Deutschland 


U 


Liechtenstein 


SD 


Sudan 






DK 


D&nemark 


LK 


Sri Lanka 


SB 


Schweden 






EE 


Est land 


LR 


Liberia 


SG 


Singapur 







WO 00/43797 PCT/DEOO/00157 



5 



10 Steuergerat zur Steuerung sicherheitskritischer Anwendungen 

Die vorliegende Erfindung betrifft ein Steuergerat zur 
Steuerung sicherheitskritischer Anwendungen mit einem 
Mikrocomputer (MC) , einer Oberwachungseinheit (Check Unit, 

15 CU) und Peripherieschaltungen (Input Output, 10) . Die 

Erfindung betrifft auflerdem ein Verfahren zum Oberprufen 
eines Mikrocomputers (MC) eines Steuergerats zur Steuerung 
sicherheitskritischer Anwendungen, das den Mikrocomputer 
(MC) , eine Oberwachungseinheit (Check Unit, CU) und 

20 Peripherieschaltungen (Input Output, IO) aufweist. 

Stand der Technik 

In Steuergeraten, die sicherheitskritische Anwendungen oder 
25 Funktionen steuern bzw. regeln, mussen Fehler des 

Mikrocomputers (MC) bzw. eines Prozessors des 
Mikrocomputers durch Oberwachung erkannt werden. Solche 
Steuergerate mit Sicherheitsauf gaben werden bspw. fur 
Antiblockiersysteme, fur Antriebsschlupf regelsysteme 
30 und/oder fur Fahrdynamikregelsysteme eingesetzt. Die 

sicherheitskritischen Anwendungen, die von dem Steuergerat 
gesteuert werden, sind iiber die Peripherieschaltungen mit 
dem Steuergerat verbunden. Bei Einrechner-Steuergeraten 
sind Verfahren mit einem Selbsttest, 
35 Plausibilitatsuberwachung und Watch-Dog bekannt. 



Zur Priifung von CMOS-Bausteinen (integrierte Schaltkreise, 
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IC) beim Hersteller werden Verfahren und Meligerate zur 
Messung des Ruhestromes eingesetzt. Der Hintergrund des 
sog. Ruhestromtestes besteht darin, daft in einem digitalen 
CMOS-Baustein in rein statischer Logik fast die gesamte 
5 Verlustleistung wahrend der Schaltvorgange in seinem 
Inneren entsteht. Im Ruhezustand beschrankt sich der 
Stromfluft auf winzige Leckstrome, sowie Strome durch 
Pullup- oder Pulldown-Widerstande an den Eingangen und 
externe Lasten an den Ausgangs-Treibern . Viele 

10 herstellungsbedingte Fehler f uhren zu einer verstarkten 
Leitf ahigkeit zwischen der positiven und negativen 
Versorgungsspannung. Werden solche defekten Bereiche 
(Punktdef ekte) der Schaltung aktiviert, fiihrt dies zu einem 
sprunghaften Anstieg der Stromauf nahme . Durch eine 

15 hochgenaue Messung der Stromauf nahme wahrend des 

Testvorgangs und einem Vergleich mit entsprechenden 
Sollwerten konnen solche Fehler festgestellt werden. Wie 
schon erwahnt, macht man sich eine solche Ruhestrommessung 
bei der Produktion von CMOS-Bausteinen zunutze, urn nach dem 

20 HerstellungsprozeJi die fehlerhaften Bausteine 

aus zusort ieren . 

Aus dem Stand der Technik ist es bekannt f das bei der 
Produktion von Rechnerbausteinen bekannte Ruhestrom- 

25 Testverf ahren auch bei Steuergeraten der eingangs genannten 
Art zur Oberpriifung der Rechnerbausteine wahrend ihres 
Normalbetriebs einzusetzen, urn die haufigsten Fehler in den 
Rechnerbausteinen, insbesondere in dem Mikrocomputer (MC) , 
bspw. Haftfehler (Stuck-at), Bruckenf ehler (Bridging) 

30 und/oder Unterbrechungsfehler (Stuck-Open) , detektieren zu 
konnen. 

Aus dem Stand der Technik ist es weiterhin bekannt, bei 
Steuergeraten der eingangs genannten Art zur Erhohung der 
35 Fehlersicherheit zwei MC vorzusehen, die sich durch 
Parallelrechnung und/oder Plausibilitatspriif ungen 
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gegenseitig uberprufen. Insbesondere Kostenbetrachtungen 
fiihren jedoch zu der Uberlegung, bei solchen Steuergeraten 
lediglich einen einzigen MC zu verwenden. 

5 Die Aufgabe der vorliegenden Erfindung besteht darin, ein 

Steuergerat der eingangs genannten Art dahingehend 
auszugestalten und weiterzubilden, daft die Zuverlassigkeit 
der Fehlerdetektion weiter verbessert und die Detektion auf 
zusatzliche Fehlerarten ausgeweitet wird. 

10 

Zur Losung dieser Aufgabe schlagt die Erfindung ausgehend 
von einem Steuergerat der eingangs genannten Art vor, daft 
die Uberwachungseinheit (CU) erste Mittel zur Messung des 
Ruhestroms des Mikrocomputers (MC) aufweist und zwischen 

15 den ersten Mitteln der CU und dem MC mindestens eine 

Handshake-Leitung zur Steuerung der Messung des Ruhestroms 
verlauft, und daft die CU zweite Mittel zur Beauf schlagung 
des MC mit einem Testdateneingangssignal, zur Verarbeitung 
des Testdateneingangssignals und zum Vergleich des 

20 entsprechenden Testdatenausgangssignals des MC mit dem 

entsprechenden Testdatenausgangssignal der CU aufweist und 
zwischen den zweiten Mitteln der CU und dem MC mindestens 
eine Testdatensignal-Obertragungsleitung verlauft. 

25 Erfindungsgemaft ist erkannt worden, daft die Zuverlassigkeit 
der Fehlerdetektion erhoht werden kann, indem zwei 
unterschiedliche, sich gegenseitig erganzende Testverf ahren 
eingesetzt werden. Auf diese Weise kann auch eine 
wesentlich groftere Anzahl von unterschiedlichen Fehlerarten 

30 der Rechenbausteine des MC detektiert werden. 



Das erf indungsgemafte Steuergerat kann auch mehrere MCs und 
mehrere CUs aufweisen. Nachfolgend wird jedoch davon 
ausgegangen, daft das Steuergerat einen MC und eine CU 
35 aufweist. Die CU des erf indungsgemaften Steuergerats weist 
erste Mittel zur Messung des Ruhestroms des MC auf. 



1 



WO 00/43797 PCT/DE00/00157 

- 4 - 

Zwischen den ersten Mitteln der CU und dem MC verlauft 
mindestens eine Handshake-Leitung zur Steuerung der Messung 
des Ruhestroms. Die Handshake-Leitung kann bspw. als eine 
bidirektionale Leitung ausgebildet sein. 

Die Ruhestrommessung wird nach dem Einschalten des 
Steuergerats fur eine feste Anzahl (typischerweise 8 bis 
16) von ausgewahlten Befehlen im Rahmen eines Testprogramms 
durchgeflihrt. Fur den Mikrocomputer TMS470 werden 
beispielsweise 14 ausgewahlte Befehle abgearbeitet , die 
einen internen Maschinenzyklus enthalten. 

Zur Erganzung der Ruhestrommessung weist die CU des 
erf indungsgemaften Steuergerats zweite Mittel auf. Zwischen 
15 den zweiten Mitteln der CU und dem MC verlauft mindestens 
eine Testdatensignal-Ubertragungsleitung . 

Die zweiten Mittel beauf schlagen den MC mit einem 
Testdateneingangssignal. Der MC berechnet ein 
20 Testdatenausgangssignal, das von dem 

Testdateneingangssignal und den Zustanden im Inneren des MC 
abhangig ist. Fehlerhafte Zustande fuhren zu einem 
veranderten Testdatenausgangssignal des MC. 

25 In den zweiten Mitteln der CU wird auch das 

Testdateneingangssignal zu einem Testdatenausgangssignal 
verarbeitet, das als Ref erenzsignal fur die Uberprufung des 
Testdatenausgangssignals des MC dient. Bei der Berechnung 
des Testdatenausgangssignal geht die CU von einem 

30 fehlerfrei arbeitenden MC aus. Die durchgef uhrte Berechnung 
ist vorzugsweise sehr einfach gestaltet. Es wird nicht wie 
bei Parallelrechnersystemen der Mikrorechner doppelt 
ausgelegt und von der CU die gleiche Berechnung wie von dem 
MC ausgefuhrt. Vielmehr wird so vorgegangen, daft der MC 

35 ausgehend von den Eingangsdaten einer vorgegebenen 

Priiffunktion die Ausgangsdaten berechnet, deren Ergebnisse 
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von der CU mit dem von ihr berechneten Ref erenzsignal 
uberpruft werden. Die zur Berechnung der Ausgangsdaten 
verwendete Pruf f unktion ist in der Regel sehr einfach 
gestaltet, sie erfordert nur eine sehr geringe Rechenzeit. 
Es konnen aber auch komplexe Tests und Ergebnisse von den 
Anwendungsprogrammen in diese Pruf f unktion mit einbezogen 
werden. 

Schlieftlich wird das Testdatenausgangssignal der CU mit dem 
Testdatenausgangssignal des MC verglichen. Weichen sie 
voneinander ab oder uberschreitet die Abweichung einen 
vorbestimmten Schwellenwert , erkennt die CU einen Fehler 
des MC. Das Testergebnis kann mittels einer 
Anzeigevorrichtung zur Anzeige gebracht werden und/oder es 
kann vorgesehen sein, daft beim Auftreten eines Fehlers eine 
Abschaltung des durch das Steuergerat geregelten und/oder 
gesteuerten Systems vorgesehen ist. 

Gemafi einer vorteilhaf ten Weiterbildung der Erfindung wird 
vorgeschlagen, daft die ersten Mittel eine IDDQ- 
Mefischaltung, eine Spannungsversorgung, eine IDDQ- 
Meftablauf steuerung (MAS) und eine Steuerung der CU umfassen 
und daft die Verbindung zwischen den ersten Mitteln und dem 
MC zwei Handshake-Leitungen, die von der IDDQ-MAS zu dem MC 
verlaufen, und mindestens eine Spannungsversorgungsleitung f 
die von der Spannungsversorgung zu dem MC verlaufen, 
umfaftt, wobei zumindest eine der 

Spannungsversorgungsleitungen iiber die IDDQ-Meftschaltung 
verlauft. Mit IDD wird bei Halbleitern der positive 
Versorgungsstrom bezeichnet. IDDQ ist eine Bezeichnung des 
Ruhestroms. Die Handshake-Leitungen sind bspw. als START - 
und als END-Handshake-Leitungen zum Einleiten bzw. zum 
Riickmelden des Abschlusses des Funktionstests ausgebildet. 

Die Kommunikation zwischen dem MC und der CU zur Messung 
des Ruhestroms erfolgt iiber die zwei Handshake-Leitungen. 
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Die Messung des Ruhestroms des MC durch die CU erfolgt iiber 
die separaten Spannungsversorgungsleitungen. 

Wie erwahnt, betrifft die Erfindung ein Steuergerat mit 
5 einer Uberwachungseinheit zum Test des Mikrocomputers des 
Steuergerats. Zur Spannungsversorgung des Steuergerats und 
damit auch des Mikrocomputers ist eine 

Spannungsversorgungseinheit vorgesehen. Die Steuereinheit 
der CU enthalt Mittel, die den MC in bestimmte 

10 Betriebszustande iiberfuhren konnen. Weiterhin sind in der 
IDDQ-Meftschaltung Meftmittel vorhanden, die den Strom oder 
die Spannung im Spannungsversorgungskreis des MC erfassen, 
woraufhin in Vergleichsmitteln, die ebenfalls in der IDDQ- 
Meiischaltung vorhanden sind, der erfafite Strom oder die 

15 erfaflte Spannung mit wenigstens einem vorgegebenen 
Schwellenwert verglichen wird. 

Mit der IDDQ-Messung konnen durch eine einfache Strom- bzw. 
Spannungsmessung eine Vielzahl von moglichen Fehlern im 
20 Rechner erfafit werden. Dabei kann mit wenigen Testschritten 

eine hohe Abdeckung der haufigsten Fehler in den Bauteilen 
eines MC erreicht werden. Solche Fehler konnen Haftfehler 
(Stuck-at) , Bruckenf ehler (Bridging) und/oder 
Unterbrechungsf ehler (Stuck-Open) sein . 

25 

Die Kombination der Ruhestroirunessung mit einem geeigneten 
anderen Uberpruf ungsverfahren r insbesondere mit einer 
Oberpriifung der Funktion des MC anhand von Testdatensatzen, 
ergibt eine insbesondere fur sicherheitskritische 
30 Anwendungen vorteilhafte breite Fehlerabdeckung beziiglich 

der wesentlichen Fehler bei Rechnerbausteinen, insbesondere 
bei CMOS-Prozessoren . 



35 



Die oben erwahnte Einsparung des zweiten Prozessors bleibt 
als wirtschaf tlicher Vorteil bei dem erf indungsgemafien 
Steuergerat weitgehend erhalten, da die erf indungsgemalie 
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Ruhestrommessung nur wenig Hardware-Auf wand erfordert. 

Die IDDQ-MAS uber'fuhrt vorgegebene Teile des MC durch eine 
spezielle Ansteuerung des MC in einen Zustand geringen 
5 Stroms. Der Hintergrund dieser Ansteuerung besteht darin, 

daft im MC meist Bauteile vorhanden sind, die einen relativ 
hohen Strom benotigen. Da, wie eingangs erwahnt, die 
Ruhestrommessung im allgemeinen auf Schwankungen des 
Ruhestroms innerhalb relativ geringer Bandbreiten basiert, 

10 storen die Bauteile des MC mit hoher Stromauf nahme die 
IDDQ-Messung . Insbesondere ist vorgesehen, daft solche 
Bauteile in den Zustand geringen Stromes uberflihrt werden, 
auf die sich die IDDQ-Messung nicht bezieht. Solche 
Bauteile konnen die MC-Endstufe und/oder eine Eingangsstuf e 

15 (beispielsweise Analog/Digital-Wandler) sowie Schaltungen 

zur internen Taktvervielf achung sein. Im einfachsten Fall 
werden die Bauteile mit hoher Stromauf nahme wahrend des 
Tests abgeschaltet . Es werden also interne Schaltungsteile 
und -ausgange, die hohe Strome fuhren, abgeschaltet . Danach 

20 kann die Messung des Ruhestroms vorgenommen werden. 

Uber die oben erwahnte Abschaltung der Bauteile des MC mit 
hohem Strom hinaus kann auch vorgesehen sein, daft der Kern 
des MC in einen Zustand geringer Stromauf nahme zu 

25 uberfuhren ist. Bei solchen speziell fur die 

Ruhestrommessung ausgelegten MC-Bausteinen ist ein 
spezieller Betriebszustand, ein sog. IDDQ-Testmode 
vorgesehen. In diesem Betriebszustand werden alle 
rechnerinternen Strome ausgeschaltet , d. h. der Strom im 

30 MC-Kern wird minimiert. Das IDDQ-Design ist derart, daft 
sich Standardf ehler im MC-Kern in einer Erhohung des 
Ruhestroms bemerkbar machen. So auftern sich beispielsweise 
Kurzschluft- bzw. Haftfehler (Kurzschluft nach Masse oder 
Versorgungsspannung) sofort in einer Erhohung des 

35 Ruhestromes. Es ist hierbei nicht notwendig, die Auswirkung 
eines solchen Fehlers bis auf die Ausgange des MC 
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weiterzuleiten (zu propagieren) . Die erhohte Stromauf nahme 
ist der sofortige Fehlerindikator . 

Neben dem oben beschriebenen IDDQ-Testmode kann vorgesehen 
sein, daft nur die Bauteile des MC mit hohem Strom 
abgeschaltet werden und der MC auf einen Befehl hin in 
einen definierten Zustand mit niedrigem Strom iibergeht . 
Dabei braucht der MC-Kern nicht speziell fur den IDDQ- 
Testmode ausgelegt zu sein. Dies wird als Power- Down-Mode 
bezeichnet . 

Der Power- Down-Mode wird eingeleitet, indem rechnerinterne 
Teile wie Register und Speicher mit bestimmten Mustern 
geladen werden und die oben erwahnten Rechnerbauteile in 
den Zustand geringer Stromauf nahme uberfuhrt werden, bspw. 
durch Ausfiihrung eines bestimmten Rechnerbef ehls . Ist 
dieser Zustand erreicht, so kann wahlweise ein 
Zeittaktgeber ausgeschaltet bzw. abgetrennt werden. 
Anschliefcend wird der Ruhestrom oder ein entsprechender 
Spannungswert gemessen und mit einem Schwellenwert 
verglichen, der dem oben eingestellten Betriebszustand 
(Power-Down-Zustand) des MC-Kerns entspricht. Sind im 
Rechner bestimmte Fehler vorhanden (Haftfehler, 
Bruckenfehler, Unterbrechungen) , so fuhrt dies meist zu 
einer Erhohung des Ruhestroms beziehungsweise des durch den 
Ruhestrom verursachten Spannungsabf alls . 

Nach einem solchen Testschritt konnen weitere Testschritte 
folgen, indem zunachst der Power-Down-Mode durch Anlegen 
von bestimmten Signalpegeln an bestimmte Anschlusse des MC 
verlassen wird. Durch ein erneutes Starten bzw. Zuschalten 
des Zeittaktgebers werden die rechnerinternen Teile wie 
Register und Speicher mit weiteren Mustern geladen und es 
werden wiederum die oben erwahnten Bauteile in den Zustand 
geringen Stroms uberfuhrt, bspw. durch Ausfiihren eines 
bestimmten Rechnerbef ehls (Power-Down-Bef ehl) . Daran 
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schlieftt sich wiederum die oben beschriebene Messung des 
Ruhestromes an. Durch mehrere solcher hintereinander 
ausgefuhrter Messungen des Power-Down-Stroms gelangt man zu 
einer immer vollstandigeren Fehlererf assung von Registern, 
5 Speichern und Teilen des Rechnerkerns . 

Die einzelnen Testschritte werden je nach Rechnertyp und 
Ausfiihrung der Schaltung durch eine Wiederf reigabe des 
Zeittaktgebers, einer Reset-Auslosung oder einer Auslosung 
10 eines externen Interrupts beendet. Nach dem letzten 

Testschritt wird der MC wieder in seinen normalen 
Betriebsmodus betrieben (Normalbetrieb) . 

Neben der oben beschriebenen Ruhestrommessung im Power- 

15 Down-Mode ist auch erf indungsgemaft eine Messung des 

Ruhestroms in dem erwahnten IDDQ-Testmode vorgesehen, 
sofern der zu testende Rechner dafur ausgelegt ist. Der 
Eintritt des IDDQ-Testmodes wird bspw. durch Verandern des 
Signalpegels an einem Anschluft des MC eingeleitet. Auch 

20 hierbei werden vor Eintritt in den IDDQ-Testmode Register 
und Speicher mit bestimmten Mustern geladen. Mit Eintritt 
des IDDQ-Testmodes werden die Rechnerteile mit hoher 
Stromauf nahme abgeschaltet . Dariiber hinaus kann der 
Rechner kern durch Anhalten bzw. Abkoppeln des Zeittaktes 

25 wahrend der Ausfiihrung eines Befehls in einem fur diesen 
Befehl typischen Zustand gehalten werden. Diese Befehle 
sind derart ausgewahlt, daft sie die Zustande der internen 
Schaltungsknoten des Rechnerkerns so einstellen, daB 
moglichst viele Fehler uber die Ruhestrommessung detektiert 

30 werden konnen. 

Der Handshake fur die Ruhestrommessung erfolgt in mehreren 
Schritten: 

35 SI: Der MC setzt das START-Signal auf HIGH. Damit weifi die 
CU, daft eine IDDQ-Messung beginnt. 
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S2: Wahlweise kann der MC das Anhalten des Zeittakts 

(Master Clock, MCLK) vorbereiten, indem er durch einen 
internen Befehl ein Signal PREP auf LOW setzt. 
S3: Der MC dekodiert den genau definierten Zeitpunkt 
5 innerhalb des nachsten geeigneten Befehls fur den 

IDDQ-Test und setzt ein Signal DEKOD ebenfalls auf 
LOW. Jetzt wird die MCLK gleich LOW und der 
Digitalteil des MC ist fur die IDDQ-Messung auf 
statischen Betrieb eingestellt. 
10 S4: Die CU fuhrt die IDDQ-Messung durch. 

S5: Die CU gibt die Pegelfolge LOW-HIGH-LOW am Signal END 

aus und aktiviert damit wieder die MCLK. 
S6: Der MC wird wieder aktiv und bestatigt das Ende der 

Messung durch Setzen des START-Signals auf LOW. Der MC 
15 setzt das Programm fort und bereitet die nachste IDDQ- 

Messung vor oder beendet die IDDQ-Messungen, wenn alle 
Messungen durchgefuhrt sind. 



Vorzugsweise verlaufen zwischen der Spannungsversorgung und 
20 dem MC zwei Spannungsversorgungsleitungen, wobei eine 

Spannungsversorgungsleitung uber die IDDQ-Meftschaltung 
verlauft. Ober die Spannungsversorgungsleitung, die uber 
die IDDQ-Meftschaltung verlauft, wird der Ruhestrom des MC 
gemessen. 

25 

Gemaft einer anderen vorteilhaften Weiterbildung des 

erf indungsgemaften Steuergerats wird vorgeschlagen, daft die 

ersten Mittel eine IDDQ-Meftschaltung, eine 

Spannungsversorgung, eine IDDQ-Meftablauf steuerung (MAS) und 
30 eine Steuerung der CU uinfassen und daft die Verbindung 
zwischen den ersten Mitteln und dem MC vier Handshake- 
Leitungen die von der IDDQ-MAS zu dem MC verlaufen, und 
mindestens eine Spannungsversorgungsleitung, die von der 
Spannungsversorgung zu dem MC verlaufen, umfaftt, wobei 
35 zumindest eine der Spannungsversorgungsleitungen uber die 
IDDQ-Mefischaltung verlauft. Bei vier Handshake-Leitungen 
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konnen zusatzlich zu den Leitungen START, END bei zwei 
Handshake-Leitungen noch eine Zeittakt (CLK) -Leitung und 
eine Leitung fur eine Power-Down (PWRDN) -Ansteuerung fur 
den MC vorgesehen werden. Bei dieser Ausf iihrungsf orm des 
5 Steuergerats geniigt eine gemeinsame 

Spannungsversorgungsleitung zum Prozessor, in der der 
Ruhestrom gemessen wird. Das Anhalten des Zeittaktgebers 
erfolgt dann in der CU. Die Ansteuerung von 
Spannungsversorgungsschaltern fur Analog- und 10- 
10 Schaltungen im MC erfolgt durch die PWRDN-Leitung aus der 

CU. Somit flielit im Meftfall nur der Ruhestrom des 
Digitalteils des MC ilber die gemeinsame 
Spannungsversorgungsleitung . 

15 Vorteilhaf terweise weisen die ersten Mittel eine 

Initialisierungsschaltung auf, die nach dem Einschalten des 
Steuergerats von der Spannungsversorgung ein 
Initialisierungssignal erhalt und danach zur Freigabe der 
IDDQ-Messung ein Freigabe-Signal an die IDDQ-MAS sendet. 

20 Der erfolgreiche Abschluft der IDDQ-Messung wird durch ein 

weiteres Signal an die Steuerung der CU signalisiert . Die 
CU schaltet daraufhin den Testablauf weiter, indem die 
Initialisierungsschaltung iiber ein weiteres Signal den 
Testdatensignalgenerator f reigibt . 

25 

Gemaii einer vorteilhaf ten Ausf iihrungsf orm der vorliegenden 
Erfindung weisen die zweiten Mittel einen 
Testdatensignalgenerator zur Beauf schlagung des MC mit 
einem Testdateneingangssignal, einen Antwortgenerator zur 

30 Verarbeitung des Testdateneingangssignals und zur Bildung 
eines entsprechenden Testdatenausgangssignals, ein 
Testdatenregister zum Senden und Empfangen der Testdaten 
und einen Vergleicher zum Vergleich des 
Testdatenausgangssignals des MC mit dem 

35 Testdatenausgangssignal der CU umfassen und daft die 
Verbindung zwischen den zweiten Mitteln und dem MC 
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mindestens eine Testdatenubertragungsleitung umfasst, die 
zwischen dem Testdatenregister und dem MC verlaufen. 
Vorteilhaf terweise verlaufen zwichen dem Testdatenregister 
und dem MC zwei Testdatentibertragungsleitungen. 

5 

Auch der Testdatensignalgenerator wird durch die 
Initialisierungsschaltung nach dem Einschalten des 
Steuergerats aktiviert. Im Testdatensignalgenerator werden 
die Testdaten fur den MC in einer quasi-zuf alligen 

10 Reihenfolge durch ein ruckgekoppeltes Schieberegister 

generiert. Zu jedem Testdateneingangssignal wird in dem 
Antwortgenerator mit Hilfe des Reed-Muller-Codes die 
Bitfolge fur das Testdatenausgangssignal (das sog. 
Ref erenzsignal) gebildet. Dieser Code wird angewendet, um 

15 einen grofltmoglichen Abstand im Zahlenraum der 

Testdatenausgangssignale (Hamming-Distanz) zu erhalten. Im 
Vergleicher wird dann das theoretisch berechnete 
Testdatenausgangssignal aus dem Antwortgenerator der CU mit 
dem tatsachlichen Testdatenausgangssignal des MC aus dem 

20 Testdatenregister verglichen. 

Die zweiten Mittel weisen vorzugsweise einen 
Triggergenerator auf, der den Zeitpunkt ermittelt, zu dem 
das Testdatenausgangssignal des MC bei fehlerfreiem MC an 

25 dem Vergleicher anliegt. Der Triggergenerator gibt den 
Zeitpunkt des Vergleichs des ermittelten 
Testdatenausgangssignals des MC mit der tatsachlichen 
Antwort des CU vor. Dadurch wird sichergestellt , daft die 
Zeitscheiben in dem MC richtig ablaufen. Der Vergleicher 

30 pruft das Testdatenausgangssignal nicht nur auf den 
richtigen Datenwert hin, sondern auch, ob das 
Testdatenausgangssignal innerhalb eines bestimmten 
Zeitfensters ubertragen wird. 

35 Vorteilhafterweise weisen die zweiten Mittel einen 

Fehlerzahler auf, der hoch- oder runterzahlt, falls das 
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Testdatenausgangssignal des MC nicht mit dem 
Testdatenausgangssignal der CU ubereinstimmt und/oder falls 
das Testdatenausgangssignal des MC zu einem anderen als zu 
dem von dem Triggergenerator ermittelten Zeitpunkt an dem 
5 Vergleicher anliegt. Der Vergleicher bewirkt durch einen 
Zahlimpuls das Hoch- oder Runterzahlen des Fehlerzahlers . 
Sind Wert und Zeitpunkt des Testdatenausgangssignals 
richtig, wird der Fehlerzahler bspw. dekrementiert . 
Unterschreitet der Fehlerzahler einen vorgebbaren Wert f 
10 wird uber ein Signalinterf ace bspw. eine externe Warnlampe 
an- oder abgeschaltet und ein Relais zum Manipulieren der 
sicherheitskritischen Anwendung freigegeben. 

Die Manipulation der zu steuernden Anwendung wird sich in 
15 der Regel auf ein Abschalten der Anwendung beschranken. Bei 
besonderen Anwendung kann es jedoch sinnvoll sein, daft der 
Fehlerzahler mehrere Ansprechschwellen hat, deren 
Uberschreiten jeweils eine unterschiedliche Reaktion zur 
Folge hat. Dadurch kann ein sofortiges Abschalten der 
20 Anwendung bei einer einmaligen Storung verhindert und eine 
Uberpriifung des Abschaltpf ades durch den Rechner ermoglicht 
werden. 

Wird ein Testdateneingangssignal zum falschen Zeitpunkt 
25 oder mit einem falschen Wert durch den MC beantwortet, wird 
der MC mit demselben Testdateneingangssignal nochmals 
beaufschlagt bis der Zeipunkt und der Wert des 
Testdatenausgangssignals richtig sind. Tritt dies innerhalb 
einer vordef inierten Zeit nicht ein, schaltet die CU das 
30 Steuergerat bzw. die Anwendung ab und kann auch durch 
richtige Antworten nicht mehr aktiviert werden. 

Die zweiten Mittel weisen vorzugsweise eine 

Initialisierungsschaltung auf , die nach dem Einschalten des 
35 Steuergerats von der Spannungsversorgung ein 

Initialisierungssignal erhalt, danach die CU mit dem MC 
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synchronisiert unci danach den Testdatensignalgenerator und 
den Fehlerzahler aktiviert. Die CU wird mit dem MC 
synchronisiert, indem die CU auf die ersten 
Dateniibertragung des MC wartet. 

5 

Eine weitere Aufgabe der vorliegenden Erfindung besteht 
darin, ein Verfahren zum Oberprlifen eines Mikrocomputers 
der eingangs genannten Art dahingehend auszugestalten und 
weiterzubilden, daft die Zuverlassigkeit der Fehlerdetektion 
10 weiter verbessert und die Detektion auf zusatzliche 
Fehlerarten ausgeweitet wird. 

Zur Losung dieser Aufgabe schlagt die Erfindung ausgehend 
von dem Verfahren der eingangs genannten Art vor, dass die 
15 CU des Steuergerats 

eine Messung des Ruhestronis des MC durchfuhrt und 
den MC mit einem Testdateneingangssignal beaufschlagt 
ein erstes Testdatenausgangssignal bestimmt und 
ein zweites Testdatenausgangssignal des MC mit dem 
20 ersten Testdatenausgangssignal der CU vergleicht. 

Vorteilhaf terweise ist die Ruhestrommessung als eine IDDQ- 
Messung ausgebildet. Vorzugsweise wird die IDDQ-Messung 
nach dem Einschalten des Steuergerates nach der Freigabe 
25 durch ein Freigabesignal durchgef uhrt . 

Gemaft einer vorteilhaf ten Weiterbildung des 

erf indungsgemaften Verfahrens wird der Vergleich des zweiten 

Testdatenausgangssignals des MC mit dem ersten 

30 Testdatenausgangssignal der CU wahrend des Betriebs des 
Steuergerats durchgef iihrt. Das hat den Vorteil, daft das 
Steuergerat nicht abgeschaltet werden muft, urn die Funktion 
des Mikrocomputers uberprufen zu konnen. Vielmehr konnen 
wahrend des Betriebs des Steuergerats nicht zur Steuerung 

35 der Anwendung genutzte Rechenkapazitaten des MC zur 
Oberpriifung des MC genutzt werden. 
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Vorzugsweise wird wahrend des Betriebs des Steuergerats in 
regelmaftigen Abstanden einmalig ein falsches 
Testdatenausgangssignal an die CU ausgegeben, urn die 
5 Funktion des Abschaltpf ades zu iiberprufen. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung geht 
davon aus, daJi wahrend der IDDQ-Messung und/oder wahrend 
des Vergleichs des zweiten Testdatenausgangssignals des MC 

10 mit dem ersten Testdatenausgangssignal der CU ein 
Zeittaktgeber durch den MC angehalten wird. Der 
Zeittaktgeber ist in der Steuerung der CU vorgesehen. 
Abhangig von den Ausgangssignalen dieses Zeittaktgebers 
werden insbesondere die rechnerinternen Vorgange gesteuert. 

15 Bei dem beschriebenen IDDQ-Testmode ist vorgesehen, daft 

dieser Zeittaktgeber aus- oder abgeschaltet bzw. von dem MC 
abgetrennt wird. Dies kann auch beim Power-Down-Mode 
realisiert sein, wenn ein besonders niedriger Ruhestrom 
erzielt werden soli. Diese Aus- oder Abschaltung bzw. das 

20 Abtrennen des Zeittaktgebers geschieht insbesondere zu 
Beginn einer jeden Ruhestrommessung . 

Vorzugsweise wird das Testdateneingangssignal der CU von 
einem Testdatensignalgenerator durch ein riickgekoppeltes 
25 Schieberegister generiert. Vorteilhaf terweise wird das 

Testdatenausgangssignal der CU von einem Antwortgenerator 
mit Hilfe des Reed-Muller-Codes generiert. 

Das erf indungsgemafte Steuergerat kann mittels zweier 
30 unterschiedlicher Testablaufe iiberpruft werden. Ein sog. 
Startup-Test wird unmittelbar nach dem Einschalten des 
Steuergerats und vor dem Betrieb des Steuergerats zur 
Steuerung oder Regelung der sicherheitskritischen Anwendung 
durchgefuhrt. Ein sog. Online-Test wird nach dem Startup- 
35 Test wahrend des Betriebs des Steuergerats von Zeit zu Zeit 
durchgefuhrt. 
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Der Startup-Test ist in zwei Testabschnitte unterteilt, den 
sog. Prozessorinitialisierungs-Abschnitt { Proz-Init ) und 
den anschlieftenden sog. Betriebssysteminitialisierungs- 
5 Abschnitt (BS-Init) . Der Proz-Init-Abschnitt umfaftt einen 
Befehls- und Core-Test, einen RAM/ROM-Test und einen IDDQ- 
Test. Der BS-Init-Abschnitt umfalit eine Startup-Regelung 
und einen Test der CU. Bei der Startup-Regelung werden dem 
Steuergerat verschiedene Eingangswerte vorgespielt (bspw. 

10 ein bestimmter Drehzahlverlauf der Rader eines Fahrzeugs, 

wie er typischerweise am Eingang eines ABS-Steuerungsgerats 
des Fahrzeugs auftreten kann) . Das Steuergerat fiihrt 
aufgrund der Eingangswerte eine Regelung bzw. Steuerung der 
Anwendung durch. Das Ergebnis dieser simulierten Regelung 

15 bzw. Steuerung wird mit entsprechenden Sollwerten 

verglichen. Bei dem Test der CU wird ein defekter MC 
simuliert und die Reaktion der CU auf den Defekt uberpruft. 

Der Online-Test weist einen Befehls- und Core-Test, einen 

20 RAM/ROM-Test, einen Test der CU, und einen Replications- 

Test auf. Bei dem Replications-Test werden fur bestimmte 
sicherheitskritische Variable doppelte Speicherplatze 
vorgesehen und bestimmte sicherheitskritische Berechnungen 
doppelt ausgefiihrt. Die Inhalte der doppelten 

25 Speicherplatze und die Ergebnisse der doppelten 

Berechnungen werden miteinander verglichen. Die redundante 
Speicherung und die redundante Berechnung erfolgt durch den 
einen Prozessor des Steuergerats . Der Online-Test weist 
daruber hinaus eine Plausibilitatsuberwachung auf, bei der 

30 die von dem MC ermittelten Steuerungs- bzw. 

Regelungssignale auf Plausibilitat uberpruft werden. Bei 
einem ABS-Steuergerat kann bspw. uberpruft werden, ob die 
Geschwindigkeit , die Beschleunigung oder die Verzogerung 
innerhalb bestimmter Grenzen liegt. Auflerdem mussen die 

35 Werte der einzelnen Rader des Fahrzeugs in einer bestimmten 
Relation zueinander stehen, was ebenfalls uberpruft werden 
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kann. Der Online-Test weist schlieBlich noch einen 
Betriebssystem-Test und einen Test der ubrigen 
Oberwachungseinheiten des Steuergerats auf. 



5 Ein bevorzugtes Ausf uhrungsbeispiel der vorliegenden 

Erfindung wird im folgenden anhand der Zeichnungen naher 
erlautert. Es zeigen: 

Fig. 1 ein schematisches Obersichtsblockschaltbild eines 
10 erf indungsgemaften Steuergerats; 



Fig. 2 ein detailliertes Obersichtsblockschaltbild des 
Steuergerats aus Fig. 1; 

15 Fig. 3 eine Schaltungsanordnung fur eine 

Ruhestrommessung mit Zweidraht-Handshake; und 



Fig. 4 Zeitdiagramm der Meftablauf steuerung fur die 
Ruhestrommessung aus Fig. 3. 

20 

In Fig. 1 ist ein schematisches Obersichtsblockschaltbild 
eines erf indungsgemaften Steuergerats dargestellt. Das 
erf indungsgemafte Steuergerat ist in seiner Gesamtheit mit 
dem Bezugszeichen 1 gekennzeichnet . Das Steuergerat 1 dient 

25 zur Steuerung sicherheitskritischer Anwendungen, bspw. fur 
Antiblockiersysteme, fur Antriebsschlupf regelsysteme 
und/oder fur Fahrdynamikregelsysteme . Das Steuergerat 1 
weist einen Mikrocomputer MC, eine Oberwachungseinheit (CU, 
Check Unit) und Peripherieschaltungen (10, Input/Output) . 

30 Der Mikrocomputer MC, die Oberwachungseinheit CU und die 
Peripherieschaltungen 10 sind liber einen seriellen 
synchronen Datenbus 2 in Serie geschaltet. Der 
Mikrocomputer MC sendet uber seine Datenausgabeleitung 
MC_Dout die Datenausgangssignale uber den Datenbus 2 an die 

35 Busteilnehmer und empfangt gleichzeitig die 

Dateneingangssignale uber seine Dateneingabeleitung MC_Din. 
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Mit dem Signal SAM (Sample) speichern die Busteilnehmer die 
in ihren Speicherregistern angekommenen Daten ab. 



5 Zwischen dem Microcomputer MC und der Uberwachungseinheit 

CU bestehen weitere Verbindungsleitungen, namlich eine 
gemeinsame Versorgungsleitung VDD oder wahlweise mehrere 
Versorgungsleitungen VDD fiir eine digitale und analoge 
Versorgung des Microcomputers MC. SchlieJJlich verlaufen 

10 zwischen dem Microcomputer MC und der Uberwachungseinheit 

CU IDDQ-Handshake-Leitungen IDDQ-HDSHK, die zur Steuerung 
der Ruhestrommessung (IDDQ-Messung) des Mikrocomputers MC 
dienen. Aus der, Uberwachungseinheit CU fiihren sogenannte 
Abschaltpf ade 3 zu externen Warnlampen und/oder Relais zum 

15 Manipulieren der zu steuerenden sicherheitskritischen 
Anwendungen, je nachdem, ob die Uberwachungseinheit CU 
einen Fehler des Mikrocomputers MC detektiert oder nicht. 
Die Peripherieschaltungen 10 weisen Verbindungsleitungen 4 
zu der zu steuernden sicherheitskritischen Anwendung 5 auf. 

20 

Nach dem Einschalten des Steuergerats 1 wird zur 
Funktionsuberpruf ung des Mikrocomputers MC eine 
Ruhestrommessung durchgef tihrt . Wahrend des Betriebs des 
Steuergerats 1 wird die Funktion des Mikrocomputers MC 
25 iiberprtift, indem er regelmafiig mit Testdatensatzen 
beaufschlagt wird und das entsprechende zweite 
Testdatenausgangssignal des MC mit einem von der 
Uberwachungseinheit CU berechneten fehlerfreien ersten 
Testdatenausgangssignal verglichen wird. 

30 

In Fig. 2 ist ein detailliertes Obersichtsblockschaltbild 
des Steuergerats 1 aus Fig. 1 dargestellt. Die 
Uberwachungseinheit CU umfasst eine Steuerung 6 der 
Uberwachungseinheit CU, eine Messablauf steuerung 7 fur die 
35 IDDQ-Messung, eine IDDQ-Messschaltung 8 und eine 
Spannungversorgung 9 . 
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Die Steuerung 6 der Uberwachungseinheit CU umfasst einen 
Testdatensignalgenerator 10, einen Antwortgenerator 11 und 
einen Vergleicher 12. Mit Hilfe des 
5 Testdatensignalgenerators 10 wird der Mikrocomputer MC mit 
einem Testdateneingangssignal beaufschlagt und ermittelt in 
Abhangigkeit von dem Testdateneingangssignal und von seinen 
internen Zustanden ein zweites Testdatenausgangssignal. Der 
Antwortgenerator 11 verarbeitet dasselbe 

10 Testdateneingangssignal und bildet ein entsprechendes 

erstes Testdatenausgangssignal. In dem Vergleicher 12 wird 
das erste Testdatenausgangssignal der Uberwachungseinheit 
CU mit dem zweiten Testdatenausgangssignal des 
Mikrocomputers MC verglichen. Ein Triggergenerator 13 

15 ermittelt den Zeitpunkt, zu dem das zweite 

Testdatenausgangssignal des Mikrocomputers MC bei 
fehlerfrei arbeitendem Mikrocomputer MC an dem Vergleicher 
12 anliegt. 

20 Die Steuerung 6 der Uberwachungseinheit CU weist daruber 

hinaus einen Fehlerzahler 14 auf, der einen Fehler zahlt, 
falls das zweite Testdatenausgangssignal des Mikrocomputers 
MC nicht mit dem ersten Testdatenausgangssignal der 
Uberwachungseinheit CU ubereinstimmt und/oder falls das 

25 zweite Testdatenausgangssignal des Mikrocomputers MC zu 
einem anderen als zu dem von dem Triggergenerator 13 
ermittelten Zeitpunkt an dem Vergleicher 12 anliegt. 

Des weiteren weist die Steuerung 6 der Uberwachungseinheit 
30 CU ein Testdatenregister 17 auf, das zum Senden und 
Empfangen der Testdaten dient. 

Die Steuerung 6 der Uberwachungseinheit CU weist 
schliefilich auch eine Initialisierungsschaltung 15 auf, die 
35 nach dem Einschalten des Steuergerats 1 von der 

Spannungsversorgung 9 ein Initialisierungssignal RST 
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erhalt, und danach die Oberwachungseinheit CU mit dem 
Mikrocomputer MC synchronisiert , indem sie auf die erste 
Dateniibertragung des MC wartet. Danach aktiviert die 
Initialisierungsschaltung 15 den Testdatensignalgenerator 
5 10 und den Fehlerzahler 14. 

In dem Testdatensignalgenerator 10 werden die 
Testdateneingangssignale fur den Mikrocomputer MC in einer 
quasi-zuf alligen Reihenfolge durch ein ruckgekoppeltes 

10 Schieberegister generiert . Zu jedem Testdateneingangssignal 

wird in dem Antwortgenerator 11 mit Hilfe des "Reed-Muller- 
Codes" die Bit-Folge fur das entsprechende erste 
Testdatenausgangssignal gebildet. Dieser Code wird 
angewendet, um einen grofttmoglichen Abstand im Zahlenraum 

15 der Testdatenausgangssignale (Hamming-Distanz) zu erhalten. 

In dem Vergleicher 12 wird dann das in dem Antwortgenerator 
11 ermittelte erste Testdatenausgangssignal mit dem 
tatsachlichen zweiten Testdatenausgangssignal des 
Mikrocomputers MC verglichen. 

20 

Der Zeitpunkt des Vergleichs wird durch den 
Triggergenerator 13 vorgegeben. Dies stellt sicher, dass 
die Zeitscheiben in dem Mikrocomputer MC richtig ablaufen. 
Der Vergleicher 12 priift das zweite Testdatenausgangssignal 

25 des MC nicht nur auf den richtigen Datenwert hin, sondern 

auch, ob das Testdatenausgangssignal innerhalb eines 
bestimmten Zeitfensters ubertragen wird. Sind Wert und 
Zeitpunkt des zweiten Testdatenausgangssignals des MC 
richtig, wird der Fehlerzahler 14 dekrementiert und liber 

30 ein Signal-Interface 16 die zu steuernde 

sicherheitskritische Anwendung im aktiven Zustand gehalten, 
indem externe Warnlampen ausgeschaltet und Relais zum 
Ansteuern der Anwendung 5 aktiviert werden. 

35 In jedem auf diesen ersten Zyklus folgenden Zyklus muss der 
Zeitpunkt und der Wert des zweiten Testdatenausgangssignals 
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des MC richtig sein, um ein sofortiges Ansprechen des 
Fehlerzahlers 14 zu verhindern. Der Fehlerzahler 14 hat 
mehrere Ansprechschwellen, um ein Abschalten des 
Steuergerats 1 bzw. der Anwendung 5 bei einer einmaligen 
5 Storung zu verhindern und um eine Prufung des 

Abschaltpf ades durch den Mikrocomputer MC zu ermoglichen. 
Die erste Stufe sperrt die Ventilendstuf en durch das Signal 
EN und schaltet die Spannungsversorgung der Ventile uber 
das Ventilrelais VRA aus. Die Anzeige der Warnlampen SILA 
10 wird um einen Zyklus verzogert, damit beim Testen des 
Abschaltpf ades keine Anzeige erfolgt. 

Wird ein Testdateneingangssignal zum falschen Zeitpunkt 
oder mit einera falschen Wert beantwortet, wird der 

15 Mikrocomputer MC mit demselben Testdateneingangssignal 
nochmals beauf schlagt , bis der Zeitpunkt und der Wert 
richtig sind. Tritt dies innerhalb einer vordef inierten 
Zeit nicht ein, schaltet die Oberwachungseinheit CU das 
Steuergerat 1 ab und kann auch durch richtige Antworten 

20 nicht mehr aktiviert werden. 

Die Ruhestrommessung wird nach dem Einschalten des 
Steuergerats 1 fur eine feste Anzahl ( typischerweise 8 bis 
16) von Zeitpunkten eines Testprogramms durchgef uhrt . Die 

25 Kommunikation zwischen Mikrocomputer MC und 

Oberwachungseinheit CU zur Ruhestrommessung erfolgt uber 
die zwei Handshake-Leitungen START und END. Wahrend der 
Ruhestrommessung halt der Mikrocomputer MC den 
Zeittaktgeber CLK an. Zwischen der Oberwachungseinheit CU 

30 und dem Mikrocomputer MC sind zwei separate 

Spannungsversorgungsleitungen, VDD_digital zur Versorgung 
des Digitalteils des Mikrocomputers MC und VDD_analog zur 
Versorgung des Analogteils des Mikrocomputers MC. Der 
Ruhestrom wird in der Spannungsversorgungsleitung 

35 VDD_digital gemessen. 
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Die Freigabe der Ruhestrommessung erfolgt nach dem 
Einschalten der Versorgungsspannung durch das Signal 
IDDQ_EN der Steuerung 6 der Uberwachungseinheit CU. Der 
erfolgreiche Abschluss der Ruhestrommessung wird durch das 
5 Signal IDDQ_FIN an die Steuerung 6 der Uberwachungseinheit 

CU signalisiert . Die Uberwachungseinheit CU schaltet dann 
den Testablauf weiter, indem die Initialisierungsschaltung 
15 iiber ein Signal IDDQ_OK den Testdatensignalgenerator 10 
freigibt. 

10 

In Fig. 3 ist eine Schaltungsanordnung fur die 
Ruhestrommessung mit einem Zweidraht-Handshake dargestellt. 
In Fig. 4 ist das Zeitdiagramm der Messablauf steuerung 7 
fur die Ruhestrommessung aus Fig. 3 dargestellt. Nach dem 

15 Einschalten des Steuergerats 1 startet der Mikrocomputer MC 

seinen Selbsttest. Ein Teil dieses Selbsttests ist die 
Ruhestrommessung. Erreicht der Ablauf im Mikrocomputer MC 
den Ruhestromtest , wird das Signal START aktiviert. Zum 
Zeitpunkt Tl wird die Ruhestrommessung durch das Signal 

20 M__Act aktiviert. Der Ausgang des Vergleichers 12 fur die 

Ruhestrommessung wird nach der Zeit T2 ausgewertet. Ist der 
Wert in Ordnung, wird der Mikrocomputer MC durch das END- 
Signal wieder aktiviert. Liegt der Wert auBerhalb eines 
Grenzwertes, wird die Messung wiederholt. Die Anzahl der 

25 Wiederholungen ist vorgegeben. Fuhrt auch die Wiederholung 
der Messung zu keiner richtigen Antwort, wird die Messung 
abgebrochen und die Uberwachungseinheit CU schaltet den 
Mikrocomputer MC nicht mehr ein, sondern bleibt in einem 
Fail-safe-Modus. Wenn alle Ruhestrommessungen abgeschlossen 

30 sind, wird das Signal IDDQ_FIN auf HIGH gesetzt. Die 

Steuerung 6 der Uberwachungseinheit CU nimmt daraufhin das 
Signal IDDQ_EN von HIGH auf LOW zuruck. 



35 
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5 



10 Patentanspriiche 

1. Steuergerat (1) zur Steuerung sicherheitskritischer 
Anwendungen (5) mit einem Mikrocomputer (MC) , einer 
Oberwachungseinheit (Check Unit, CU) und 

15 Peripherieschaltungen (Input Output, 10), dadurch 

gekennzeichnet, daft die Oberwachungseinheit (CU) erste 
Mittel zur Messung des Ruhestroms des Mikrocomputers (MC) 
aufweist und zwischen den ersten Mitteln der CU und dem MC 
mindestens eine Ruhestrom-Handshake-Leitung ( IDDQ-HDSHK) 

20 zur Steuerung der Messung des Ruhestroras verlauft, und daft 

die CU zweite Mittel zur Beauf schlagung des MC mit einem 
Testdateneingangssignal, zur Verarbeitung des 
Testdateneingangssignals und zum Vergleich des 
entsprechenden Testdatenausgangssignals des MC mit dem 

25 entsprechenden Testdatenausgangssignal der CU aufweist und 
zwischen den zweiten Mitteln der CU und dem MC mindestens 
eine Testdatensignal-Obertragungsleitung verlauft. 

2. Steuergerat (1) nach Anspruch 1, dadurch 

30 gekennzeichnet, daft die ersten Mittel eine IDDQ- 

Meftschaltung (8), eine Spannungsversorgung (9), eine IDDQ- 
Mefiablauf steuerung (MAS) (7) und eine Steuerung (6) der CU 
umfassen und daft die Verbindung zwischen den ersten Mitteln 
und dem MC zwei Handshake-Leitungen (START, END), die von 

35 der IDDQ-MAS zu dem MC verlaufen, und mindestens eine 
Spannungsversorgungsleitung (VDD) , die von der 
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Spannungsversorgung (9) zu dem MC verlaufen, umfaftt, wobei 
zumindest eine der Spannungsversorgungsleitungen (VDD) iiber 
die IDDQ-Meftschaltung (8) verlauft. 

5 3. Steuergerat (1) nach Anspruch 2, dadurch 

gekennzeichnet, daft zwischen der Spannungsversorgung (9) 
und dem MC zwei Spannungsversorgungsleitungen (VDD_analog, 
VDD_digital) verlaufen, wobei eine 

Spannungsversorgungsleitung (VDD_digital ) iiber die IDDQ- 
10 Meftschaltung (8) verlauft. 

4. Steuergerat (1) nach Anspruch 1, dadurch 
gekennzeichnet, daft die ersten Mittel eine IDDQ- 
Meftschaltung (8), eine Spannungsversorgung (9), eine IDDQ- 

15 Meftablauf steuerung (MAS) (7) und eine Steuerung (6) der CU 
umfassen und daft die Verbindung zwischen den ersten Mitteln 
und dem MC vier Handshake-Lei tungen (START, END, CLK, 
PWR_DN), die von der IDDQ-MAS (7) zu dem MC verlaufen, und 
mindestens eine Spannungsversorgungsleitung (VDD) , die von 

20 der Spannungsversorgung (9) zu dem MC verlaufen, umfaftt, 
wobei zumindest eine der Spannungsversorgungsleitungen 
(VDD) iiber die IDDQ-Meftschaltung (8) verlauft. 

5. Steuergerat (1) nach einem der Anspruche 2 bis 4, 
25 dadurch gekennzeichnet, daft die ersten Mittel eine 

Initialisierungsschaltung (15) aufweisen, die nach dem 
Einschalten des Steuergerats (1) von der 
Spannungsversorgung (9) ein Initialisierungssignal (RST) 
erhalt und danach zur Freigabe der IDDQ-Messung ein 
30 Freigabe-Signal (IDDQJSN) an die IDDQ-MAS (7) sendet. 

6. Steuergerat (1) nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daft die zweiten Mittel einen 
Testdatensignalgenerator (10) zur Beauf schlagung des MC mit 

35 einem Testdateneingangssignal, einen Antwortgenerator (11) 
zur Verarbeitung des Testdateneingangssignals und zur 
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Bildung eines entsprechenden Testdatenausgangssignals, ein 
Testdatenregister (17) zum Senden und Empfangen der 
Testdaten und einen Vergleicher (12) zum Vergleich des 
Testdatenausgangssignals des MC mit dem 
5 Testdatenausgangssignal der CD umfassen und daft die 
Verbindung zwischen den zweiten Mitteln und dem MC 
mindestens eine Testdateniibertragungsleitung umfasst, die 
zwischen dem Testdatenregister (17) und dem MC verlauft. 

10 7. Steuergerat (1) nach Anspruch 6, dadurch 

gekennzeichnet , daft die Verbindung zwischen den zweiten 
Mitteln und dem MC zwei Testdatenubertragungsleitungen 
(CU_Dout, CU_Din) umfasst. 

15 8. Steuergerat (1) nach Anspruch 6 oder 7, dadurch 

gekennzeichnet, daft die zweiten Mittel einen 
Triggergenerator (13) aufweisen, der den Zeitpunkt 
ermittelt, zu dem das Testdatenausgangssignal des MC bei 
fehlerfreiem MC an dem Vergleicher (12) anliegt. 

20 

9. Steuergerat (1) nach einem der Anspruche 6 bis 8, 
dadurch gekennzeichnet, daft die zweiten Mittel einen 
Fehlerzahler (14) aufweisen, der einen Fehler zahlt, falls 
das Testdatenausgangssignal des MC nicht mit dem 
25 Testdatenausgangssignal der CU iibereinstimmt und/oder falls 
das Testdatenausgangssignal des MC zu einem anderen als zu 
dem von dem Triggergenerator (13) ermittelten Zeitpunkt an 
dem Vergleicher (12) anliegt. 

30 10. Steuergerat (1) nach Anspruch 9, dadurch 

gekennzeichnet/ daft der Fehlerzahler (14) mehrere 
Ansprechschwellen hat, deren Uberschreiten jeweils eine 
unterschiedliche Reaktionen zur Folge hat. 

35 11. Steuergerat (1) nach einem der Anspruche 6 bis 10, 

dadurch gekennzeichnet, daft die zweiten Mittel eine 
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Initialisierungsschaltung (15) aufweisen f die nach dem 
Einschalten des Steuergerats (1) von der 
Spannungsversorgung (9) ein Initialisierungssignal (RST) 
erhalt, danach die CU mit dem MC synchronisiert und danach 
5 den Testdatensignalgenerator (10) und den Fehlerzahler (14) 
aktiviert . 

12. Verfahren zum Uberpriifen eines Mikrocomputers (MC) 
eines Steuergerats (1) zur Steuerung sicherheitskritischer 

10 Anwendungen, das den Mikrocomputer (MC) , eine 
Oberwachungseinheit (Check Unit, CU) und 
Peripherieschaltungen (Input Output, 10) aufweist, 
gekennzeichnet durch 

eine Messung des Ruhestroms des MC und 
15 - eine Beauf schlagung des MC mit einem 

Testdateneingangssignal, 

ein Bestimmen eines ersten Testdatenausgangssignals 
und 

einen Vergleich eines zweiten Testdatenausgangssignals 
20 des MC mit dem ersten Testdatenausgangssignal der CU. 

13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, 
daft die Ruhestrommessung als eine IDDQ-Messung ausgebildet 
ist . 

25 

14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, 
dafi die IDDQ-Messung nach dem Einschalten des Steuergerates 
(1) nach der Freigabe durch ein Freigabesignal ( I DDQ_EN ) 
durchgefuhrt wird. 

30 

15. Verfahren nach Anspruch 13 oder 14, dadurch 
gekennzeichnet, dali der Vergleich des zweiten 
Testdatenausgangssignals des MC mit dem ersten 
Testdatenausgangssignal der CU wahrend des Betriebs des 

35 Steuergerats (1) durchgefuhrt wird. 
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16. Verfahren nach einem der Anspruche 13 bis 15, dadurch 
gekennzeichnet, dafc wahrend der IDDQ-Messung und/oder 
wahrend des Vergleichs des zweiten Testdatenausgangssignals 
des MC mit dem ersten Testdatenausgangssignal der CU ein 
Zeittaktgeber (Clock, CLK) durch den MC angehalten wird. 

17. Verfahren nach einem der Anspruche 13 bis 16, dadurch 
gekennzeichnet, daft das Testdateneingangssignal der CU von 
einem Testdatensignalgenerator (10) durch ein 
ruckgekoppeltes Schieberegister generiert wird. 

18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, 
daft das Testdatenausgangssignal der CU von einem 
Antwortgenerator (11) mit Hilfe des Reed-Muller-Codes 
generiert wird. 
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